Сравнительный обзор классов IDS, XDR или DLP
Для обеспечения информационной безопасности (далее — ИБ) корпоративной ИТ-инфраструктуры от утечек данных или кибератак используются инструменты классов IDS (англ. Intrusion Detection System, система обнаружения вторжений), XDR (англ. Extended Detection and Response, расширенное обнаружение и реагирование), или DLP (англ. Data Leak Prevention, предотвращение утечек конфиденциальных данных).
IDS
Это программно-аппаратные или программные инструменты, которые обнаруживают атаки на систему корпоративной безопасности. Решения этого класса работают с внешним и внутренним трафиком компании.
Обнаружение угроз осуществляется двумя методами. Первый метод подразумевает использование данных из базы сигнатур, которую со стороны разработчика необходимо регулярно обновлять. Второй метод предполагает использование данных о правильном поведении. Любое отклонение от модели корректного поведения приведёт к уведомлению об этом специалиста ИБ.
Основные функциональные возможности решений класса IDS:
- контроль качества системного администрирования,
- выявление вторжений и сетевых кибератак,
- распознавание источника вторжения (хакеры извне или инсайдеры),
- поиск уязвимостей,
- анализ трафика и сопоставление результатов с базой данных о сигнатурах вторжений,
- прогнозирование вторжений,
- создание отчётов,
- ведение журналов пакетов,
- выявление уязвимостей.
Решения класса IDS обнаруживают:
- попытки получения несанкционированного доступа к базам данных,
- активность ботов,
- вторжения в локальную сеть в режиме реального времени,
- активность сканера портов,
- подозрительную активность.
Решения этого класса не отражают атаки на сеть, а лишь обнаруживают их, уведомляют администратора или специалиста ИБ, указывая источник угрозы. Они помогают в устранении опасности и расследовании инцидентов.
Наиболее часто используются виды решений IDS, отличающиеся друг от друга по месту их установки: на уровне сети (англ. NIDS, Network Intrusion Detection System) и на уровне хоста (англ. HIDS, Host-based Intrusion Detection System).
XDR
Это программные комплексы облачной модели SaaS (англ. Software as a Service), обеспечивающие интеграцию продуктов для информационной защиты корпоративных конечных точек, облачных приложений, электронной почты, серверов и других ресурсов ИТ-инфраструктуры.
Функциональные возможности систем XDR включают в себя комплексный подход к инцидентам ИБ:
- Обнаружение и нейтрализация вторжений в автоматическом режиме. Система определяет угрозу, даёт ей оценку и нейтрализует в режиме реального времени. Это позволяет уменьшить корпоративную нагрузку и распознать трудно узнаваемые угрозы ИБ.
- Аналитика больших объёмов данных, собранных с множества источников (электронная почта, удостоверения, приложения, данные хранилищ и сетей и т. п.). Она позволяет облегчить специалистам ИБ поиск угроз и следить за временной шкалой развёртывания вторжения, а также обнаружить угрозы, которые прежде оставались незамеченными.
- Применение методов машинного обучения и искусственного интеллекта для обеспечения эффективной работы решений и возможности их масштабирования. Искусственный интеллект помогает обнаруживать аномалии, оповещать о них, расследовать угрозы, нейтрализовать их или сдерживать. Машинное обучение помогает создавать профили аномального поведения и привлекать внимание аналитиков.
- Работа с последствиями атак. Система проводит действия по восстановлению безопасного состояния затронутых атакой ресурсов, определяя злоумышленников среди корпоративных пользователей, завершая или удаляя вредоносные процессы и правила.
- Работа с оповещениями. Система осуществляет сбор и корреляцию оповещений ИБ. Это позволяет создать полную картину атаки или инцидента ИБ, сужая тем самым область расследования и уменьшая нагрузку на аналитиков.
Решения класса XDR имеют некоторые преимущества с точки зрения обеспечения ИБ предприятия:
- Предоставление аналитикам более полной картины текущего положения дел со стороны корпоративной информационной защиты. Система собирает телеметрические сведения из всевозможных конечных точек, приложений, электронной почты, сетей и других источников.
- Управление оповещениями. Экономит время аналитиков и специалистов ИБ, помогает проводить оптимизацию генерации оповещений и сократить количество ненужных уведомлений во входящих папках.
- Приоритизация инцидентов позволяет эффективно планировать рекомендуемые действия в соответствии с корпоративными стандартами и политиками.
- Автоматизация повторяющихся задач.
- Централизованное управление.
- Выявление действий злоумышленников в режиме реального времени и активация автоматических средств исправления. Это сокращает время несанкционированного доступа к корпоративным информационным ресурсам.
- Использование всех корпоративных средств защиты, обеспечение реагирования и нейтрализации, а также централизованного процесса аналитической работы.
DLP
Решения класса DLP представляют собой программное обеспечение, которое мониторит передачу корпоративных данных из компании и блокирует файлы, содержащие конфиденциальную информацию, руководствуясь политикой ИБ.
Они защищают ИТ-систему от мошенников и управляют корпоративными рисками. Для этого в решениях применяются визуальная и предиктивная аналитики, технологии искусственного интеллекта. Также системы этого класса применяются для обучения корпоративных офисных сотрудников стандартам и понятиям ИБ. Главным фокусом являются активность сотрудников компании внутри ИТ-инфраструктуры.
Для работы используется лингвистический метод анализа всех исходящих корпоративных данных на предмет их секретности и степени конфиденциальности. Некоторые разработчики таких решений создают для своих клиентов собственные корпоративные словари для достижения максимально точного анализа.
Функциональные возможности решений класса DLP включают в себя:
- защиту конфиденциальных данных;
- защиту персональных данных (как сотрудников компании, так и корпоративных клиентов);
- контроль каналов коммуникаций;
- обнаружение нецелевого использования информационных ресурсов компании;
- обнаружение нелояльных к компании и корпоративной политике сотрудников;
- защиту от мошеннических действий и коррупции;
- работу с географически распределёнными сетями;
- контроль хранилищ данных;
- защиту от кражи данных;
- защиту от саботажа;
- запись разговоров сотрудников между собой в офисе и по телефону;
- проведение расследований инцидентов;
- контроль активности пользователей на рабочих станциях;
- контроль рабочего времени сотрудников;
- ведение отчётов об инцидентах и журналов событий ИБ.
Решения класса DLP имеют ряд преимуществ:
- высокая скорость анализа (даёт возможность обеспечения безопасности больших объёмов персональной конфиденциальной информации, которые содержатся в анкетах, опросниках и бланках);
- небольшое количество ложных срабатываний и точное детектирование информации, составляющей коммерческую тайну;
- возможность вовлечения в управление безопасностью всех корпоративных подразделений;
- поддержка сложных структур, что делает решения подходящими для работы в крупных компаниях с территориально распределёнными филиалами;
- хранение событий ИБ в единой базе данных (даёт возможность расследовать инциденты с использованием специальных инструментов: карточек сотрудников, граф связей и персональных досье);
- возможность расширения функционала системы.
DLP-решения защищают такие каналы передачи данных, как:
- приложения;
- данные, хранящиеся на внешних носителях информации;
- сервисы передачи мгновенных сообщений;
- электронная почта;
- данные, передаваемые на печать;
- данные, проходящие через HTTP, HTTPS и FTP.
Особенности установки всех трёх решений
Многие решения классов DLP и IDS имеют модульную структуру, что даёт возможность индивидуально выбирать отдельные нужные каналы, требующие обеспечения безопасности. В результате формируется уникальная конфигурация каждого решения, которая собирается под нужды конкретной компании. Также такие системы можно масштабировать за счёт приобретения дополнительных лицензий на каждый модуль.
Решения класса XDR могут включать в себя модули DLP и IDS, а также другие инструменты. Одной из важнейших функций как раз является интеграция в единое целое всех возможных инструментов для специалиста ИБ. Этому классу решений необходимы регулярные обновления из-за часто меняющихся и появляющихся данных.
На что обратить внимание при выборе решения
Итак, системы IDS и XDR обнаруживают внешние угрозы, в то время как DLP-решения занимаются защитой от внутренних угроз. В комплексе они оптимально друг друга дополняют.
Самой сложной из описанных выше систем является XDR, поскольку она включает в себя функционал DLP и IDS. Именно поэтому решения этого класса подойдут для крупных корпоративных структур. В случае, если необходимо защитить только определённый участок ИТ-инфраструктуры, целесообразно выбрать DLP или IDS, опираясь на потребности и поставленные задачи, так как XDR может оказаться нецелесообразно дорогостоящим решением.
Решения российских производителей
IDS: ViPNet IDS NS, ПАК «Рубикон», «С-Терра СОВ», Traffic Inspector Next Generation.
XDR: PT XDR, Kaspersky Symphony XDR, Kaspersky Anti Targeted Attack, Managed.
DLP: InfoWatch Traffic Monitor, Zecurion DLP, Solar Dozor, «Кибер Протего», Staffсop Enterprise, «Гарда Предприятие», «Стахановец».