Сравнительный обзор классов IDS, XDR или DLP

Для обеспечения информационной безопасности (далее — ИБ) корпоративной ИТ-инфраструктуры от утечек данных или кибератак используются инструменты классов IDS (англ. Intrusion Detection System, система обнаружения вторжений), XDR (англ. Extended Detection and Response, расширенное обнаружение и реагирование), или DLP (англ. Data Leak Prevention, предотвращение утечек конфиденциальных данных).

IDS

Это программно-аппаратные или программные инструменты, которые обнаруживают атаки на систему корпоративной безопасности. Решения этого класса работают с внешним и внутренним трафиком компании.

Обнаружение угроз осуществляется двумя методами. Первый метод подразумевает использование данных из базы сигнатур, которую со стороны разработчика необходимо регулярно обновлять. Второй метод предполагает использование данных о правильном поведении. Любое отклонение от модели корректного поведения приведёт к уведомлению об этом специалиста ИБ.

Основные функциональные возможности решений класса IDS:

  • контроль качества системного администрирования,
  • выявление вторжений и сетевых кибератак,
  • распознавание источника вторжения (хакеры извне или инсайдеры),
  • поиск уязвимостей,
  • анализ трафика и сопоставление результатов с базой данных о сигнатурах вторжений,
  • прогнозирование вторжений,
  • создание отчётов,
  • ведение журналов пакетов,
  • выявление уязвимостей.

Решения класса IDS обнаруживают:

  • попытки получения несанкционированного доступа к базам данных,
  • активность ботов,
  • вторжения в локальную сеть в режиме реального времени,
  • активность сканера портов,
  • подозрительную активность.

Решения этого класса не отражают атаки на сеть, а лишь обнаруживают их, уведомляют администратора или специалиста ИБ, указывая источник угрозы. Они помогают в устранении опасности и расследовании инцидентов.

Наиболее часто используются виды решений IDS, отличающиеся друг от друга по месту их установки: на уровне сети (англ. NIDS, Network Intrusion Detection System) и на уровне хоста (англ. HIDS, Host-based Intrusion Detection System).

XDR

Это программные комплексы облачной модели SaaS (англ. Software as a Service), обеспечивающие интеграцию продуктов для информационной защиты корпоративных конечных точек, облачных приложений, электронной почты, серверов и других ресурсов ИТ-инфраструктуры.

Функциональные возможности систем XDR включают в себя комплексный подход к инцидентам ИБ:

  • Обнаружение и нейтрализация вторжений в автоматическом режиме. Система определяет угрозу, даёт ей оценку и нейтрализует в режиме реального времени. Это позволяет уменьшить корпоративную нагрузку и распознать трудно узнаваемые угрозы ИБ.
  • Аналитика больших объёмов данных, собранных с множества источников (электронная почта, удостоверения, приложения, данные хранилищ и сетей и т. п.). Она позволяет облегчить специалистам ИБ поиск угроз и следить за временной шкалой развёртывания вторжения, а также обнаружить угрозы, которые прежде оставались незамеченными.
  • Применение методов машинного обучения и искусственного интеллекта для обеспечения эффективной работы решений и возможности их масштабирования. Искусственный интеллект помогает обнаруживать аномалии, оповещать о них, расследовать угрозы, нейтрализовать их или сдерживать. Машинное обучение помогает создавать профили аномального поведения и привлекать внимание аналитиков.
  • Работа с последствиями атак. Система проводит действия по восстановлению безопасного состояния затронутых атакой ресурсов, определяя злоумышленников среди корпоративных пользователей, завершая или удаляя вредоносные процессы и правила.
  • Работа с оповещениями. Система осуществляет сбор и корреляцию оповещений ИБ. Это позволяет создать полную картину атаки или инцидента ИБ, сужая тем самым область расследования и уменьшая нагрузку на аналитиков.

Решения класса XDR имеют некоторые преимущества с точки зрения обеспечения ИБ предприятия:

  • Предоставление аналитикам более полной картины текущего положения дел со стороны корпоративной информационной защиты. Система собирает телеметрические сведения из всевозможных конечных точек, приложений, электронной почты, сетей и других источников.
  • Управление оповещениями. Экономит время аналитиков и специалистов ИБ, помогает проводить оптимизацию генерации оповещений и сократить количество ненужных уведомлений во входящих папках.
  • Приоритизация инцидентов позволяет эффективно планировать рекомендуемые действия в соответствии с корпоративными стандартами и политиками.
  • Автоматизация повторяющихся задач.
  • Централизованное управление.
  • Выявление действий злоумышленников в режиме реального времени и активация автоматических средств исправления. Это сокращает время несанкционированного доступа к корпоративным информационным ресурсам.
  • Использование всех корпоративных средств защиты, обеспечение реагирования и нейтрализации, а также централизованного процесса аналитической работы.

DLP

Решения класса DLP представляют собой программное обеспечение, которое мониторит передачу корпоративных данных из компании и блокирует файлы, содержащие конфиденциальную информацию, руководствуясь политикой ИБ.

Они защищают ИТ-систему от мошенников и управляют корпоративными рисками. Для этого в решениях применяются визуальная и предиктивная аналитики, технологии искусственного интеллекта. Также системы этого класса применяются для обучения корпоративных офисных сотрудников стандартам и понятиям ИБ. Главным фокусом являются активность сотрудников компании внутри ИТ-инфраструктуры.

Для работы используется лингвистический метод анализа всех исходящих корпоративных данных на предмет их секретности и степени конфиденциальности. Некоторые разработчики таких решений создают для своих клиентов собственные корпоративные словари для достижения максимально точного анализа.

Функциональные возможности решений класса DLP включают в себя:

  • защиту конфиденциальных данных;
  • защиту персональных данных (как сотрудников компании, так и корпоративных клиентов);
  • контроль каналов коммуникаций;
  • обнаружение нецелевого использования информационных ресурсов компании;
  • обнаружение нелояльных к компании и корпоративной политике сотрудников;
  • защиту от мошеннических действий и коррупции;
  • работу с географически распределёнными сетями;
  • контроль хранилищ данных;
  • защиту от кражи данных;
  • защиту от саботажа;
  • запись разговоров сотрудников между собой в офисе и по телефону;
  • проведение расследований инцидентов;
  • контроль активности пользователей на рабочих станциях;
  • контроль рабочего времени сотрудников;
  • ведение отчётов об инцидентах и журналов событий ИБ.

Решения класса DLP имеют ряд преимуществ:

  • высокая скорость анализа (даёт возможность обеспечения безопасности больших объёмов персональной конфиденциальной информации, которые содержатся в анкетах, опросниках и бланках);
  • небольшое количество ложных срабатываний и точное детектирование информации, составляющей коммерческую тайну;
  • возможность вовлечения в управление безопасностью всех корпоративных подразделений;
  • поддержка сложных структур, что делает решения подходящими для работы в крупных компаниях с территориально распределёнными филиалами;
  • хранение событий ИБ в единой базе данных (даёт возможность расследовать инциденты с использованием специальных инструментов: карточек сотрудников, граф связей и персональных досье);
  • возможность расширения функционала системы.

DLP-решения защищают такие каналы передачи данных, как:

  • приложения;
  • данные, хранящиеся на внешних носителях информации;
  • сервисы передачи мгновенных сообщений;
  • электронная почта;
  • данные, передаваемые на печать;
  • данные, проходящие через HTTP, HTTPS и FTP.

Особенности установки всех трёх решений

Многие решения классов DLP и IDS имеют модульную структуру, что даёт возможность индивидуально выбирать отдельные нужные каналы, требующие обеспечения безопасности. В результате формируется уникальная конфигурация каждого решения, которая собирается под нужды конкретной компании. Также такие системы можно масштабировать за счёт приобретения дополнительных лицензий на каждый модуль.

Решения класса XDR могут включать в себя модули DLP и IDS, а также другие инструменты. Одной из важнейших функций как раз является интеграция в единое целое всех возможных инструментов для специалиста ИБ. Этому классу решений необходимы регулярные обновления из-за часто меняющихся и появляющихся данных.

На что обратить внимание при выборе решения

Итак, системы IDS и XDR обнаруживают внешние угрозы, в то время как DLP-решения занимаются защитой от внутренних угроз. В комплексе они оптимально друг друга дополняют.

Самой сложной из описанных выше систем является XDR, поскольку она включает в себя функционал DLP и IDS. Именно поэтому решения этого класса подойдут для крупных корпоративных структур. В случае, если необходимо защитить только определённый участок ИТ-инфраструктуры, целесообразно выбрать DLP или IDS, опираясь на потребности и поставленные задачи, так как XDR может оказаться нецелесообразно дорогостоящим решением.

Решения российских производителей

IDS: ViPNet IDS NS, ПАК «Рубикон», «С-Терра СОВ», Traffic Inspector Next Generation.

XDR: PT XDR, Kaspersky Symphony XDR, Kaspersky Anti Targeted Attack, Managed.

DLP: InfoWatch Traffic Monitor, Zecurion DLP, Solar Dozor, «Кибер Протего», Staffсop Enterprise, «Гарда Предприятие», «Стахановец».