Для борьбы с современными киберугрозами уже недостаточнопривычных средств защиты, о которых менеджменту компаний было известно внедавнем прошлом. Традиционно службы информационной безопасности устанавливалина периметр внутренней сети организации межсетевой экран, на клиентскиеустройства – антивирусы, а также использовали различные специализированныерешения в зависимости от потребностей и оценки рисков.

Но программное обеспечение злоумышленников может проникнутьвнутрь защищенного периметра компании и месяцами или даже годами работатьнезамеченным. Это становится частым явлением по мере увеличения количества незащищенныхклиентских устройств в сети (личных смартфонов, планшетов сотрудников) и ростаизощренности и целенаправленности атак. Поэтому решения для обеспечениябезопасности должны быть комплексными, охватывающими всю сеть целиком, а нетолько периметр, и выявляющими зловредное ПО на всех этапах его жизненногоцикла, а не только в момент входа.

SIEM для выявления атак

Для выявления уже случившихся заражений, о которых компаниипока не известно, существует класс систем защиты SIEM (Security information and eventmanagement – управление информацией и событиями в системе безопасности). Они анализируютсобытия в системах безопасности, реагируют на подозрительную работу сетевогооборудования и приложений, выдают оповещения о совершаемых атаках. Лучшие изних делают это в реальном времени. Опыт многих поставщиков SIEM показывает, что зачастую ужепилотное внедрение выявляет в сетях заказчиков различное вредоносное ПО,включая шпионские программы, которые не детектировались другими средствами безопасности.

Компания Fortinetразработала систему FortiSIEM, которая стала развитием известного на рынкерешения от приобретенного ею разработчика AccelOps и вошла в «магическийквадрант» Gartner(Magic Quadrant for Security Information and Event Management). FortiSIEM являетсячастью предлагаемого комплексного решения для обеспечения информационнойбезопасности бизнеса, но может использоваться и отдельно от него как мультивендорноерешение, работающее не только с оборудованием Fortinet, но и с решениями большогочисла партнеров.

FortiSIEM – всесторонняя, целостная и масштабируемаясистема, способная работать как с облаками, так и с интернетом вещей, обладающаямощной управляемой аналитикой и предоставляющая всю необходимую информацию наодном экране. FortiSIEM позволяет значительно снизить сложность обнаруженияугроз. Это, по заявлению вендора, – единственное решение, которое обеспечивает реализациюфункций отслеживания, сбора и распространения актуальных данных об угрозах, приэтом полностью охватывая адаптивную систему сетевой безопасности,интегрированные с ней решения партнеров и более сотни дополнительных решений поработе с сетями и обеспечению безопасности, разработанных стороннимипоставщиками.

В этом решении реализованы не только традиционные функциональныевозможности, которые Gartnerсчитает обязательными для систем такого класса, но и новыефункции: обнаружение и анализ ресурсов в реальном времени, быстрая интеграция,мультитенантные архитектуры и простое горизонтальное масштабированиеархитектур. Fortinetудалось найти технические возможности сделать систему ориентированной намаксимальную автоматизацию и высокую производительность.

Фабрика безопасностидля комплексной защиты

Появление многочисленных личных устройств, с которыхсотрудники получают доступ к корпоративной информации, привело Fortinet кпониманию того, что нужно менять саму концепцию безопасности. Файрвол на входене может обеспечить защиту из-за неконтролируемого роста числа точек входа всеть. Следовательно, ни одному элементу сети доверять по умолчанию нельзя. Такпоявилась концепция Zero Thrust,ставшая идеологической основой «Фабрики безопасности».

Эта новая разработка Fortinet предусматриваетэшелонированную систему защиты. Первая линия – защита периметра. Вторая –защита всего, что находится внутри сети. Как правило, традиционная сетькомпании имеет плоскую топологию, маршрутизаторы не имеют средств безопасности,поэтому вредоносное ПО относительно свободно распространяется внутри сети. Сегментацияпозволяет локализовать и контролировать очаги угроз, минимизируя ущерб.

Работа «Фабрики безопасности» базируется на трех принципах.Первый принцип – широта охвата. Защита не ограничивается тонкой линиейпериметра и набором отдельных устройств. Администратор должен контролироватьвсю среду, включая точки доступа, маршрутизаторы, конечные устройства, ЦОД,облако, приложения и данные. Необходимая информация должна быть представлена ведином интерфейсе, позволяя видеть и реагировать на самые сложные угрозы. Используявозможности динамической сегментации сети, «Фабрика безопасности» позволяетобнаруживать угрозы при их переходе из одного сегмента в другой.

Второй принцип – высокая производительность. Современныесети отличаются сложностью, распределенностью и масштабностью. Для обеспеченияих защиты, тем более в рамках концепции ZeroThrust, необходима производительная система безопасности. Недопустимоослаблять защиту на одном участке ради того, чтобы обеспечить работу в реальномвремени на другом. Так, до появления FortinetInternalSegmentation Firewall было сложно предоставить необходимые ресурсы для защитыкаждого сегмента за приемлемую цену, поэтому концепция сегментации неразвивалась. Теперь же эта проблема решена: решения безопасности Fortinet обеспечиваютвысочайшую скорость обработки событий безопасности.

И третий принцип – автоматизация. Скорость распространенияугроз в сетях возрастает, и системы безопасности должны уметь отвечать на нихвовремя. Поэтому они не могут предусматривать участие человека на каждом шагу –корреляция событий и определение уровня риска должны быть автоматизированы.«Фабрика безопасности» может динамически изолировать подвергшиеся атакеустройства, части сегментов сети, обновлять правила, устанавливать новыеполитики и удалять вредоносное ПО. Она также умеет динамически адаптироваться кизменениям сетевой конфигурации, что исключает не только затраты времени, но ириск ошибки по вине человеческого фактора.

«Фабрика безопасности» создана на базе уже существующихпродуктов компании, которые благодаря новой концепции получили дополнительныевозможности для работы в едином комплексе. Ее три основные компонента – этомежсетевой экран FortiGate, антиспам FortiMail вместе с «песочницей»FortiSandbox для проверки подозрительных вложений, а также ПО для защитырабочих станций и персональных устройств пользователей FortiClient. Также могутиспользоваться Web-Application Firewall, Internal Segmentation Firewallдля защиты сегментов и целый ряд других систем.

В целом эти системы предусматривают защиту сети на уровне Enterprise-файрвола,обеспечение безопасности облаков, защиту от продвинутых атак (Advanced ThreatProtection), защиту приложений, доступа, а также мониторинг событий безопасностии поддержку интеграции с решениями партнеров.