Infosecurity оказывает услуги по внедрению следующих решений:- Optimum
- Kaspersky Endpoint Security (KES)
- Kaspersky endpoint detection and response (Kaspersky EDR, KEDR)
- Expert
- Kaspersky Managed Detection and Response
- Kaspersky Security для виртуальных сред и облаков
- F.A.C.C.T Managed XDR
- Dr.Web Enterprise Security Suite
- Positive Technologies MaxPatrol EDR
Комплексная защита конечных точек сети – это обычная установка ПО?
Не стоит думать, что внедрение комплексной защиты конечных точек сети – это просто установка программного обеспечения, с которой справится любой сотрудник отдела ИБ или IT. Это гораздо более сложный и многоэтапный процесс, требующий комплексной стратегии по обеспечению безопасности организации. Все зависит от ИБ-задач организации, ее масштаба, существующей IT-инфраструктуры и компетенций ИБ-команды.
Что относится к конечным точкам сети и какие угрозы для них существуют?
Важно отметить, что к конечным точкам сети относятся не только компьютеры, ноутбуки и подключаемые периферийные к ним устройства, но и в том числе все виды серверов, виртуальные машины и контейнеры, коммутаторы и роутеры, различные специализированные устройства (POS-терминалы, медицинское оборудование), устройства IoT и пр.
Угрозы для конечных точек представляют собой потенциальные риски или опасности, которые могут привести к нарушению целостности, доступности или конфиденциальности данных на устройствах, подключенных к корпоративной сети. Эти угрозы включают в себя:
Для обеспечения защиты конечных точек от указанных угроз (кроме угрозы физического доступа) необходима комплексная система безопасности, включающая антивирусное ПО, системы обнаружения и реагирования, а также регулярное обновление ПО.
Угрозы для конечных точек представляют собой потенциальные риски или опасности, которые могут привести к нарушению целостности, доступности или конфиденциальности данных на устройствах, подключенных к корпоративной сети. Эти угрозы включают в себя:
- Вредоносное ПО: вирусы, трояны, черви, шифровальщики (ransomware), шпионское ПО.
- Фишинг: мошеннические попытки получения чувствительных данных путем маскировки под доверенные источники.
- Man-in-the-middle атаки: перехват трафика между конечной точкой и сетью для кражи конфиденциальной информации.
- Атаки «нулевого дня»: использование уязвимостей, которые еще не известны производителю и не имеют патчей.
- Кража учетных данных: получение несанкционированного доступа к системам и данным
- Нецелевое использование: сотрудники могут использовать устройства для несанкционированного доступа к интернет-ресурсам или устанавливать потенциально опасное ПО.
- Эксплойты: программы или последовательности команд, эксплуатирующие уязвимости в конечной точке.
- Физический доступ: злоумышленники могут получить доступ к устройствам, если они не находятся в безопасном месте, например, в закрытом офисе, или не запаролены.
Для обеспечения защиты конечных точек от указанных угроз (кроме угрозы физического доступа) необходима комплексная система безопасности, включающая антивирусное ПО, системы обнаружения и реагирования, а также регулярное обновление ПО.
Системы комплексной защиты конечных точек сети
Системы защиты конечных точек сети (Endpoint Protection Platform, EPP) и системы обнаружения и реагирования на инциденты безопасности на конечных точках (Endpoint Detection and Response, EDR) представляют собой набор инструментов и решений, предназначенных для обеспечения безопасности корпоративных устройств от различных угроз.
EPP (Endpoint Protection Platform):
EDR (Endpoint Detection and Response):
Обе эти системы дополняют друг друга: EPP фокусируется на предотвращении и уничтожении однозначно идентифицированных угроз, а EDR предоставляет возможности по исследованию активностей на конечных точках и выявлению потенциальных инцидентов безопасности, а также реагированию на них. Вместе они обеспечивают комплексную защиту конечных точек от широкого спектра угроз информационной безопасности.
EPP (Endpoint Protection Platform):
- Антивирус (сигнатурный и несигнатурный анализ): обеспечивают базовую защиту от известных вредоносных программ
- Файервол для конечной точки: блокирует нежелательный входящий и исходящий трафик
- Контроль приложений: определяет, какие приложения могут быть запущены на устройстве
- Контроль устройств: позволяет контролировать доступ к системным и периферийным устройствам
- Веб-контроль: позволяет контролировать доступ пользователей к веб-ресурсам
- Шифрование: позволяет обеспечить защиту чувствительных данных при утере устройства
- Защита от эксплойтов: предотвращает эксплуатацию уязвимостей в ПО
- Защита от фишинга: блокирует мошеннические сайты и письма
- Защита почты: позволяет проводить проверку пользовательской почты на вредоносное содержание
EDR (Endpoint Detection and Response):
- Обнаружение поведенческих аномалий: отслеживает и анализирует поведение на устройствах в поисках необычных или подозрительных действий
- Визуализация цепочки атаки: показывает последовательность событий, приведших к инциденту безопасности
- Форензика: собирает детальные данные об инцидентах безопасности для более глубокого анализа
- Автоматизированное реагирование: позволяет предпринять действия по реагированию на угрозу на всей инфраструктуре, например, изолировать зараженные устройства или удалить вредоносные файлы
- Облачные аналитические инструменты: использует большие данные и машинное обучение для обнаружения угроз
Обе эти системы дополняют друг друга: EPP фокусируется на предотвращении и уничтожении однозначно идентифицированных угроз, а EDR предоставляет возможности по исследованию активностей на конечных точках и выявлению потенциальных инцидентов безопасности, а также реагированию на них. Вместе они обеспечивают комплексную защиту конечных точек от широкого спектра угроз информационной безопасности.
Рассказываем о ключевых этапах внедрения системы защиты конечных точек сети для вашего лучшего понимания процесса
Предпроектный этап
1. Анализ инфраструктуры заказчика
Сбор информации для дальнейшего технического проектирования путём опроса/интервьюирования/анкетирования в удалённом формате.
2. Определение целевой архитектуры
На данном этапе происходит процесс разработки и утверждения структуры будущей системы, которая будет соответствовать всем бизнес-требованиям и техническим потребностям заказчика. Целевая архитектура системы включает в себя выбор технологических решений, определение основных компонентов системы, их взаимосвязей, а также методов их взаимодействия. Этот этап также учитывает текущую архитектуру заказчика и определяет необходимые изменения для достижения желаемого конечного результата.
3. Предоставление необходимых сведений о требованиях
Предоставляются основные необходимые для выполнения работ сведения об аппаратных и программных требованиях к компонентам внедряемой системы, требуемых правах и учетных записях, а также информация о необходимых правилах сетевого взаимодействия между ними. Также на этом этапе достигаются договоренности о порядке удаленного доступа Исполнителя в инфраструктуру Заказчика.
4. Согласование плана проведения работ
Включает в себя определение и утверждение полного перечня необходимых работ, утверждение сроков выполнения, определение и согласование необходимых ресурсов, включая оборудование и специалистов, а также назначение и согласование ключевых лиц, ответственных за выполнение конкретных задач и этапов проекта.
Сбор информации для дальнейшего технического проектирования путём опроса/интервьюирования/анкетирования в удалённом формате.
2. Определение целевой архитектуры
На данном этапе происходит процесс разработки и утверждения структуры будущей системы, которая будет соответствовать всем бизнес-требованиям и техническим потребностям заказчика. Целевая архитектура системы включает в себя выбор технологических решений, определение основных компонентов системы, их взаимосвязей, а также методов их взаимодействия. Этот этап также учитывает текущую архитектуру заказчика и определяет необходимые изменения для достижения желаемого конечного результата.
3. Предоставление необходимых сведений о требованиях
Предоставляются основные необходимые для выполнения работ сведения об аппаратных и программных требованиях к компонентам внедряемой системы, требуемых правах и учетных записях, а также информация о необходимых правилах сетевого взаимодействия между ними. Также на этом этапе достигаются договоренности о порядке удаленного доступа Исполнителя в инфраструктуру Заказчика.
4. Согласование плана проведения работ
Включает в себя определение и утверждение полного перечня необходимых работ, утверждение сроков выполнения, определение и согласование необходимых ресурсов, включая оборудование и специалистов, а также назначение и согласование ключевых лиц, ответственных за выполнение конкретных задач и этапов проекта.
Этап разработки и согласования документации
Этап сфокусирован на разработке требуемого заказчику комплекта технической и эксплуатационной документации. В зависимости от требований, документация может разрабатываться по корпоративным шаблонам заказчика, по шаблонам системного интегратора или с учетом требований ГОСТ. Состав документации может отличаться для различных Заказчиков, однако программа и методика испытаний (ПМИ) является минимально необходимым документом для сдачи проекта, по которому будет оцениваться выполнение работ.
Этап реализации проекта
1. Подготовительные работы
Осуществляются необходимые подготовительные работы на стороне заказчика. Речь может идти о настройке серверов под компоненты внедряемой системы или настройке СУБД для нее, настройке сетевой связности на межсетевых экранах для работы системы, предоставление доступа исполнителя к инфраструктуре заказчика и т.д.
2. Основные работы
Этап предполагает непосредственное внедрение решения. В первую очередь выполняется развертывание серверных компонентов решения, их первоначальная настройка, активация лицензий и другие работы. После этого заказчик выделяет из своей инфраструктуры пилотную группу защищаемых устройств, которая, как правило, составляет от 20 до 100 рабочих станций и/или серверов различных видов и ролей. При выделении пилотной группы рекомендуется составлять ее из максимально разнообразных устройств, чтобы смоделировать работу решения в инфраструктуре наиболее полно. После этого выполняется установка клиентской части решения на пилотную группу устройств, выполняется настройка и отладка параметров защиты, после чего решение тиражируется на оставшуюся инфраструктуру.
Осуществляются необходимые подготовительные работы на стороне заказчика. Речь может идти о настройке серверов под компоненты внедряемой системы или настройке СУБД для нее, настройке сетевой связности на межсетевых экранах для работы системы, предоставление доступа исполнителя к инфраструктуре заказчика и т.д.
2. Основные работы
Этап предполагает непосредственное внедрение решения. В первую очередь выполняется развертывание серверных компонентов решения, их первоначальная настройка, активация лицензий и другие работы. После этого заказчик выделяет из своей инфраструктуры пилотную группу защищаемых устройств, которая, как правило, составляет от 20 до 100 рабочих станций и/или серверов различных видов и ролей. При выделении пилотной группы рекомендуется составлять ее из максимально разнообразных устройств, чтобы смоделировать работу решения в инфраструктуре наиболее полно. После этого выполняется установка клиентской части решения на пилотную группу устройств, выполняется настройка и отладка параметров защиты, после чего решение тиражируется на оставшуюся инфраструктуру.
Ввод в опытную эксплуатацию
Этап опционален и может проводиться или не проводиться по желанию заказчика. На данном этапе проводятся предварительные испытания, когда заказчик тестирует работу решения в своей инфраструктуре при поддержке интегратора. Опытная эксплуатация занимает от недели до нескольких месяцев, по ее итогам выполняется донастройка системы.
Ввод в промышленную эксплуатацию
Внедренное решение тестируется на предмет соответствия заявленным требованиям и готовности к полноценной работе в реальных условиях, а также финально согласуется с заказчиком. Проводится испытание системы в соответствии с документом ПМИ: при обнаружении замечаний осуществляется донастройка систем и устранение замечаний заказчика. Когда все замечания устранены, подписывается протокол приемо-сдаточных испытаний. После успешного завершения этого этапа подписывается акт о вводе системы в промышленную эксплуатацию. Система готова к полноценной работе.
Выбрав Infosecurity, вы получаете не просто услугу по внедрению средства защиты, а комплексный подход, направленный на обеспечение безопасности вашего бизнеса
Наши преимущества
Отлаженные процессы
Наши методики и процедуры проверены временем и успешно реализованы на многих проектах, что обеспечивает гладкость и эффективность внедрения.
Индивидуальный подход
Мы учитываем особенности каждого заказчика, его инфраструктуры и бизнес-требований, чтобы предоставить наилучшее решение, соответствующее потребностям.
Сильная команда
Наши специалисты — профессионалы в своей области, постоянно повышающие свою квалификацию, что позволяет нам оставаться на передовой в области безопасности.
Партнерство с ведущими вендорами
Infosecurity сотрудничает напрямую с лучшими производителями систем защиты информации, что позволяет нам внедрять последние и наиболее эффективные решения в области безопасности.
Соблюдение сроков
Мы понимаем значение времени для бизнеса, и благодаря отлаженным процессам и опытной команде гарантируем выполнение работ в оговоренные сроки.
Прозрачное взаимодействие
Мы ценим доверие наших клиентов и стремимся к полной прозрачности на всех этапах работы. Это позволяет избегать недопонимания и делает процесс сотрудничества максимально открытым и понятным для обеих сторон.
Наши методики и процедуры проверены временем и успешно реализованы на многих проектах, что обеспечивает гладкость и эффективность внедрения.
Индивидуальный подход
Мы учитываем особенности каждого заказчика, его инфраструктуры и бизнес-требований, чтобы предоставить наилучшее решение, соответствующее потребностям.
Сильная команда
Наши специалисты — профессионалы в своей области, постоянно повышающие свою квалификацию, что позволяет нам оставаться на передовой в области безопасности.
Партнерство с ведущими вендорами
Infosecurity сотрудничает напрямую с лучшими производителями систем защиты информации, что позволяет нам внедрять последние и наиболее эффективные решения в области безопасности.
Соблюдение сроков
Мы понимаем значение времени для бизнеса, и благодаря отлаженным процессам и опытной команде гарантируем выполнение работ в оговоренные сроки.
Прозрачное взаимодействие
Мы ценим доверие наших клиентов и стремимся к полной прозрачности на всех этапах работы. Это позволяет избегать недопонимания и делает процесс сотрудничества максимально открытым и понятным для обеих сторон.
Infosecurity обладает сертификатами от ведущих вендоров информационной безопасности. Наши специалисты регулярно проходят специализированное обучение, чтобы оставаться в авангарде отрасли и гарантировать клиентам передовые решения для защиты информации.