- Защита от APT и 0-day атак
- Защита баз данных
- Защита веб-приложений
- Защита рабочих станций и серверов
- Защита каналов связи
- Защита информации от DoS/DDoS-атак
Целевые или таргетированные атаки (Advanced Persistant Threats, АРТ)
— это атаки, направленные на конкретную организацию, группу компаний либо отрасль. При проведении целевых атак часто используется зловредный код, разработанный или модифицированный специально под конкретную организацию, ее инфраструктуру. Атака всегда имеет четкую цель. В первую очередь это финансовое обогащение, а также получение преимущества в конкурентной борьбе или, например, решение политических задач.
Свойством данного вида атак является длительный характер воздействия на цель и сложность обнаружения. Злоумышленник «закрепляется» в скомпрометированной информационной системе и, действуя максимально скрытно, длительное время сохраняет контроль и доступ к конфиденциальной информации.
Решения для защиты от APT-атак
- «песочницы» (Sandbox);
- решения Next-Generation Endpoint Security.
Сегодня производители средств защиты информации предлагают единственное решение, которое позволяет эффективно бороться с вышеперечисленными угрозами – Песочницы или SandBox. Данный класс решений позволяет эмулировать среду инфраструктуры и запускать в ней файлы, чтобы обнаружить вредоносное поведение носителя до того как оно попадет в вашу сеть. Это инновационное решение позволяет предупредить заражение инфраструктуры в результате незамеченных эксплойтов, атак «нулевого дня» и таргетированных атак.
Песочница перехватывает и осуществляет фильтрацию входящих файлов, запуская их в виртуальной среде, помечая данные, которые замечены в подозрительном поведении. Данные о поведении могут отправляться на сервер производителя. Таким способом вредоносное программное обеспечение становится известной угрозой, которую становится возможно предотвратить.
Преимущества внедрения решений по защите от APT-атак:
- возможность не только детектировать, но и блокировать целенаправленную атаку;
- проведение расследований инцидентов информационной безопасности;
- выявление вредоносных активностей на основании индикаторов компрометации (IOC);
- защита конечных станций от проникновения вредоносного программного обеспечения по различным каналам связи (Next-Generation Endpoint Security).
Системы защиты баз данных
Системы защиты баз данных предназначены для пресечения несанкционированного доступа к информации, обрабатываемой в СУБД, а также контроля и фильтрации различных типов взаимодействий между СУБД, пользователями и приложениями, осуществляющими такой доступ.
Системы защиты баз данных позволяют решить следующие задачи:
- Внедрение механизмов контроля и учета действий пользователей и администраторов, аудита защищаемых баз данных;
- Реализация механизмов аудита и предотвращения несанкционированного доступа к содержимому защищаемых баз данных посредством различных механизмов сканирования;
- Реализация инструментов обнаружения и реагирования на попытки несанкционированного доступа к информации защищаемых баз данных;
- Оперативный контроль состояния защищенности баз данных;
- Приведение состояния защиты инфраструктуры в соответствие требованиям регуляторов;
- Повышение производительности труда и эффективности работы подразделений компании, отвечающих за обеспечение информационной безопасности, за счет реализуемых в системе механизмов аудита и отчетности.
Web Application Firewall (WAF)
Web Application Firewall (WAF) – вот, что чаще всего используют в качестве щита отражающего разные типы атак на веб-приложение.
Задача WAF состоит в том, чтобы находясь перед веб-приложением или в стороне, обеспечивать мониторинг активности приложения и предупреждать об угрозах безопасности или блокировать их. Таким образом WAF выполняет две функции – контроль активности в веб-приложении и превентивный контроль безопасности.
WAF – это межсетевой экран (Firewall), который изначально спроектированный с прицелом на контроль HTTP-запросов и блокирование тех из них, которые могут быть потенциально опасными или не соответствуют заданным правилам. Задача WAF в том, что перехватывать SQL-инъекции, межсайтовый скриптинг (XSS), попытки обхода каталогов и другие попытки атак посредством HTTP-запросов, включая их подмену, то есть пресекать любые попытки несанкционированного использования веб-приложения. Правила и политики задаваемые WAF позволяют эффективно обеспечить контроль HTTP-трафика в соответствии с функционалом веб-приложения. WAF предупреждает или блокирует подозрительную активность на основе имеющихся сигнатур (уже известных атак) или на основе специфических требований веб-приложения.
Основные способы защиты веб-приложений, которые используют WAF:
- Проверка данных на соответствие стандартам протоколов;
- Самообучаемые механизмы проверки трафика, в том числе на основе нейронных сетей;
- Сигнатурный анализ;
- Защита от инъекций и XSS;
- Защита от DDOS-атак;
- Репутационный анализ;
- Пользовательские правила обработки трафика.
Решения по защите веб-приложений обеспечивают:
- Достаточно высокий уровень защищенности даже с настройками по умолчанию;
- Возможность сконфигурировать WAF для защиты от специфических типов атак или уязвимостей (например, срочно закрыть уязвимость при отсутствии патча);
- Эффективную защиту от атак класса Brute Force login, Parameter tampering, Session hijacking, Cookie poisoning, Cookie injection, Illegal HTTP encoding (double encoding, malicious encoding), атак на SOAP и XML;
- Сравнительный анализ элементов структуры веб-приложений (поля форм, cookie, параметры и др.) с эталонными элементами, хранимыми в профилях;
- Профилирование HTTP, HTTPS и XML-трафика
Защита рабочих станций и серверов
Защита рабочих станций и серверов является одной из ключевых задач при построении системы информационной безопасности в государственных и коммерческих организациях и это комплексный процесс, часто неотделимый от общих мероприятий в компании.
На основании результатов исследования, проведенного компанией «Код Безопасности», наибольшую опасность для информации на рабочих станциях и серверах представляют следующие угрозы:
- Угрозы несанкционированного доступа
- Сетевые угрозы
- Угрозы вредоносного программного обеспечения
- Угрозы целостности конфиденциальной информации
- Угрозы контроля физических носителей.
Защита информации от внешних и внутренних угроз на рабочих станциях и серверах в комплексе должна обеспечиваться на следующих уровнях:
- данные;
- приложения;
- сеть;
- операционная система;
- периферийное оборудование.
Таким образом, решения для защиты рабочих станций и серверов должно быть обеспечено с использованием программных и аппаратных средств защиты информации по следующим направлениям:
- защита от несанкционированного доступа;
- защита при удаленном доступе;
- защита информации, обрабатываемой в виртуальной среде;
- защита информации при резервном копировании;
- предотвращение утечки ценных корпоративных данных;
- защита мобильных устройств;
- защита персональных данных.
Защита каналов связи
Защита каналов связи включает в себя комплекс мер для защиты корпоративной информации, передаваемой по каналам связи.
Современная инфраструктура компании, как правило, представляет собой сложный комплекс, состоящий из территориально распределенного оборудования головного офиса, филиалов, удаленных пользователей и сервисов облачных операторов связи, ядром которого является центр обработки данных.
Цели создания системы защиты каналов связи:
- снижение уровня рисков информационной безопасности при передаче информации между объектами компании.
- создание надёжной и отказоустойчивой защищённой корпоративной сети.
- реализация требований российского законодательства и соответствующих нормативных актов в части криптографической защиты информации, передаваемой по каналам связи.
Решения для обеспечения сетевой безопасности и решаемые с них помощью задачи:
защищенный удаленный доступ | — безопасное подключение к корпоративной сети с любого места и любого устройства; |
межсетевое экранирование | — обеспечение защиты от киберугроз, включая направленные атаки и предотвращение утечки информации; — обнаружение обращения зловредных приложений, недоступных традиционным средствам защиты |
виртуальные частные сети | — обеспечение высокой безопасности и аутентификации данных; — создание качественного шифрования данных и трафика; — обеспечение надежной защиты от вредоносных программ; — обеспечение защиты внутренних информационных ресурсов компании на требуемом уровне. |
защита беспроводных сетей | — обеспечение защищенного подключения к беспроводной сети; — обеспечение конфиденциальности, целостности и доступности информации, передаваемой в беспроводной сети; — обеспечение защиты от нецелевого использования беспроводной сети, в том числе от злонамеренного воздействия на защищаемые информационные ресурсы; — обнаружение несанкционированных точек доступа. |
обнаружение вторжений | — обеспечение дополнительного уровня защиты компьютерных систем от вредоносной сетевой активности; — прогнозирование возможных атак; — создание надежной основы для защиты корпоративной сети от несанкционированного доступа. |
DoS-атака (Denial of Service) — буквально «отказ в обслуживании». Это тип атаки, в котором мошенники нападают с целью вызвать перегрузку подсистемы сервиса. В этом случае компьютер (или компьютеры) используется для заполнения сервера пакетами TCP и UDP.
DDoS-атака (Distributed Denial of Service) — по сути, это та же DoS-атака, но реализованная с нескольких машин на один целевой хост. Сложность защиты от этого вида нападения зависит от количества машин, с которых осуществляется отправка трафика, поэтому этот тип атаки занимает важное место в арсенале хакеров.
Виды DDoS-атак
- «Пинг смерти» (Ping of Death) — отправка пакета данных объемом более 65 535 байт, приводящая к сбою в работе сервера или его отключению. Использовалась в 90-е. Современные системы не подвержены такой атаке.
- HTTP(S) GET/POST-флуд — загрузка с сервера объемных данных или отправка на сервер ничего не значащей информации с целью заполнения канала передачи данных и расходования ресурсов сервера на обработку этого запроса.
- Smurf-атака — отправка атакуемой системе ICMP-ответов от компьютеров на специально сформированный запрос.
- UDP-флуд — отправка множества UDP-пакетов на множество портов (определенные или случайные), чтобы заставить TCP/UDP-стек жертвы обрабатывать ошибки приема пакетов и создавать ответные ICMP-сообщения.
- SYN-флуд — одновременный запуск множества TCP-соединений, размещенных в SYN-пакетах, имеющих устаревший или несуществующий обратный адрес.
- Layer 7 HTTP-флуд — поток HTTP-запросов, обычно направлен на «слабые» места веб-приложения, в основном, логику веб-приложения и нацелены на исчерпание ресурсов веб-сервера при обработке «тяжелых» запросов, интенсивных функций обработки или памяти.
- Атаки на DNS-серверы — отправка на сервер пустых, типовых запросов (пакетов данных).
- Амплификация атаки — способ выполнения DDoS-атаки, приводящий к многократному усилению воздействия на жертву атаки: небольшое количество ботов инициирует отправку огромного количества поддельных пакетов или запросов. Такой подход применяется в атаках, построенных на основе DNS или NTP-протоколов.
Цели и задачи защиты информации от DoS/DDoS-атак
- предотвращение утечки, хищения, утраты, замены, искажения, подделки информации;
- предупреждение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
Способы защиты от DoS/DDoS-атак
- Установка в составе сетевой инфраструктуры специализированных программно-аппаратных комплексов, отвечающих за обнаружение и реагирование на DDoS-атаки. Это оборудование осуществляет фильтрацию трафика от нелегитимной активности с сохранением легитимного трафика, что обеспечивает доступность защищаемых ресурсов. Как правило, использование такого подхода подразумевает также установку фильтрующего оборудования также и со стороны провайдера услуг связи для обеспечения гарантированной доступности полосы пропускания канала связи между провайдером и защищаемой сетью компании.
- Предоставление специализированного сервиса по фильтрации сетевого трафика на предмет обнаружения DDoS-атак. При таком подходе сетевой трафик перенаправляется в специализированные центры очистки трафика.
Что мы предлагаем
Защита ИТ-инфраструктуры
Защита от APT и 0-day атак, DoS/DDoS-атак. Защита баз данных, веб-приложений, рабочих станций, серверов и каналов связи
Защита информации
Предотвращение утечек информации (DLP-системы), защита информации от несанкционированного доступа, контроль доступа к неструктурированным данным
Управление безопасностью
Управление привилегированными пользователями и доступом пользователей к сетевым ресурсам. Системы централизованного мониторинга и управления событиями информационной безопасности
Аудит ИТ-инфраструктуры
Комплекс мероприятий по проведению инвентаризации, исследованию и анализу составных частей информационных систем
Обслуживание средств защиты информации, техническое сопровождение
Поддержка сложных систем информационной безопасности от разных вендоров
Импортозамещение
Переход на отечественные цифровые инструменты в условиях непрерывности ваших бизнес-процессов