Сетевая безопасность и защита конечных точек

Сетевая безопасность и защита конечных точек

5 способов, с помощью которых безопасность конечных точек и сетевая безопасность должны работать вместе

Сетевая безопасность не так проста, как кажется – ни одно единое решение полноценно не защитит от множества угроз, с которыми сталкиваются организации. Если организации хочется применить более комплексную защиту, то для нее приходится сочетать аппаратное и программное обеспечение, которое может защитить сеть от различных угроз сразу на нескольких уровнях безопасности.

Время, затраты и рабочая сила, необходимые для тщательного выбора, внедрения и обслуживания этих инструментов, являются огромными инвестициями для любой организации. Однако те угрозы, которые находятся в сетевой среде, не всегда будут обнаружены внутри периметра, и возможности сетевой защиты не всегда применимы к ним. Если конечные точки не будут защищены с помощью подходящих продуктов для обеспечения безопасности, киберпреступники легко могут обойти защиту периметра, внеся в среду внешние угрозы. Неправильный продукт для обеспечения безопасности конечных точек может свести на нет всю работу, которая была проделана для защиты сети.

Ниже приведены пять вещей, которые вы можете сделать для предотвращения негативного влияния на состояние безопасности вашей сети от конечных точек.

1. Изначально интегрируйте аналитику угроз.

Согласно исследованию Ponemon 2016 года, 39 процентов респондентов согласны с тем, что все атаки могут быть остановлены, если организация владеет и обменивается информацией об угрозах. Использование глобальной аналитики угроз расширяет возможности защиты за пределы знаний, полученных лишь от одного решения до общих аналитических данных глобального сообщества. Когда другие члены сообщества сталкиваются с новыми атаками, эта информация передается, чтобы все участники могли автоматически обнаруживать известные угрозы и быстро идентифицировать неизвестные угрозы.

В идеале и сеть, и конечная точка должны участвовать в обмене данными об угрозах, непрерывно применяя растущую аналитику угроз к устройствам в своих собственных средах. Они также должны обмениваться информацией друг с другом, чтобы те угрозы, которые обнаруживаются и предотвращается ими на конечной точке, также можно было идентифицировать и предотвратить в сети.

Однако одной только информации об угрозах недостаточно. Большинство организаций, которые подписываются на информационные каналы о кибербезопасности, теряются в огромных объемах данных, которые они не могут сопоставить или преобразовать в полезные аналитические данные для защиты своей компании. Не имея возможности автоматического преобразования аналитики угроз в средствах защиты организации просто покупают еще больше данных, что даже сильнее усугубляет проблему. Это усугубление обуславливается отсутствием встроенной интеграции между компонентами в среде для создания и совместного использования этой информации об угрозах. Искусственный интеллект, который правильно не интегрирован и не может быть автоматически преобразован в новые средства защиты, бесполезен, если вы, конечно же, не увеличите свою команду ради его использования.

Конечным результатом без нужных тулзов будет только лишь более трудоемкий процесс анализа данных, а вы наверняка хотите добиться совсем не этого результата.

2. Защита от известных и неизвестных угроз.

Большинство традиционных продуктов безопасности предназначены для обнаружения известных угроз до того, как они проникнут в организацию. Во многих случаях к тому времени, когда обнаруживается неизвестная угроза, критически важные активы уже скомпрометированы, и обнаружение происходит слишком поздно. Кроме того, хотя злоумышленники часто повторно используют существующие вредоносные программы и методы эксплуатации, они также изменяют существующие атаки или создают совершенно новые, чтобы избежать обнаружения. Это оставляет широкий спектр угроз, не обнаруживаемых большинством продуктов безопасности.

Обнаружение и исправление в сети или конечной точке отнимают много времени команды и при этом зачастую еще и неэффективны. Этой проблемы можно избежать, если и сеть, и конечная точка могут предотвратить известные и неизвестные угрозы. В идеале возможности предотвращения вашего решения для обеспечения безопасности конечных точек не должны полагаться на сигнатуры или предварительные знания об атаке или уязвимости, а должны включать в себя различные методы анализа и предотвращения для максимальной эффективности.

3. Автоматизация

В распоряжении злоумышленников есть технология автоматизации, масштабируемость и специализированные инструменты. В исследовании Ponemon Economics of a Breach за 2016 год 68% респондентов заявили, что автоматизированные хакерские инструменты облегчают злоумышленникам успешные атаки. Целая экономика и рынок существуют для того, чтобы стимулировать распространение этих инструментов по доступным ценам.

Для защиты от все более изощренных атак организации используют точечные решения, которые часто являются сложными и трудоемкими, но по итогу все равно кажутся недостаточными. Чтобы опередить злоумышленников, организация должна сделать успешные атаки более сложными и менее прибыльными. Респонденты вышеупомянутого опроса утверждают, что 60% атак можно предотвратить, если для проведения атаки потребуется дополнительно 40 часов. Единственный способ добиться этого масштабируемым и устойчивым образом – это автоматическое предотвращение.

Обнаружение ни в сети, ни в конечной точке не масштабируется, если для исследования предупреждений необходимо участие аналитика безопасности. Автоматизация делает организацию более сложной целью, задерживая успех атаки и, следовательно, выплату, и заставляя злоумышленника перейти к следующей потенциальной жертве.

4. Обеспечьте постоянную защиту.

Пользователи становятся все более мобильными, подключаясь к внутренним ресурсам из точек по всему миру, находящихся за периметром сети организации. На всех конечных точках должен быть одинаковый уровень защиты, независимо от их подключения: онлайн или офлайн, локально или вне офиса. Отсутствие постоянства в этих средствах защиты приведет к скомпрометированной конечной точке и, вполне возможно, к скомпрометированной сети, независимо от уже имеющихся сетевых средств защиты. Безопасность конечных точек должна выходить за пределы традиционного периметра сети, где многие кибератаки нацелены на конечных пользователей и конечные точки и где сеть не имеет полной видимости.

5. Обеспечьте полную видимость активности в сети, конечной точке и облаке.

Для достижения своих целей современные атаки проходят несколько этапов. Чтобы успешно предотвратить атаку, организации должны иметь полную видимость всех пользователей, устройств и данных в своей сети, конечной точке и облаке. Такая видимость необходима для понимания контекста атаки, обеспечения соблюдения политики безопасности в сети и на конечной точке, а также для корреляции событий безопасности для улучшения состояния безопасности организации. Когда изначально интегрированный анализ угроз сочетается с автоматическим предотвращением известных и неизвестных угроз для обеспечения постоянной защиты, независимо от подключения или местоположения, синергетический эффект может значительно улучшить состояние безопасности организации. Это сделает организацию менее привлекательной для злоумышленников, а также минимизирует вероятность успешной целевой атаки.

Выбор неправильного решения для обеспечения безопасности конечных точек может сделать ваши конечные точки уязвимыми для угроз и вовсе испортить всю вашу значительную работу, которая была проделана для обеспечения безопасности сети. Ваше решение для обеспечения безопасности конечных точек должно обеспечивать непрерывную защиту всех конечных точек, а также предоставлять дополнительные возможности другим частям организации и поддерживать общее состояние сетевой безопасности в целом.

Расширенная защита конечных точек Palo Alto Networks Cortex XDR использует множественные методы предотвращения, останавливая известные и неизвестные угрозы.

Как часть платформы безопасности нового поколения Palo Alto Networks, Cortex XDR интегрируется с облачной службой анализа угроз WildFire, чтобы автоматически преобразовывать данные об угрозах в средства предотвращения вредоносных программ и упреждающе блокировать угрозы до того, как они смогут скомпрометировать конечную точку.