Традиционные стратегии кибербезопасности, ориентированные на защиту периметра, больше не эффективны. Во многих случаях злоумышленники находятся внутри периметра, или жизненно важные корпоративные активы, такие как облачные вычисления, находятся за его пределами.
Глубокая защита предполагает создание нескольких линий для защиты организации от потенциальных угроз. Это может включать в себя такие шаги, как сегментация сети, но также должно включать различные типы технологий безопасности. Например, защита от вредоносных программ на сетевом уровне может быть дополнена решениями для обеспечения безопасности конечных точек, такими как защита от вредоносных программ, платформы защиты конечных точек (EPP) и обнаружение конечных точек и реагирование на них (EDR).
В идеале организация сможет выявлять и блокировать попытки атак на сетевом уровне до того, как они достигнут устройств организации и окажут потенциальное воздействие. Однако углубленная защита обеспечивает возможность обнаружения и блокирования продолжающейся атаки, которая проскользнула мимо средств защиты организации.
Стратегии углубленной обороны
Организации могут внедрять комплексную защиту в своих ИТ-средах. Ниже приведены некоторые примеры стратегий внедрения углубленной защиты для устранения различных угроз.
Безопасность учетной записи
Атаки на захват учетных записей являются распространенной угрозой для организации, которая рискует тем, что злоумышленник получит доступ к учетной записи законного пользователя со всеми связанными с ней разрешениями. Примером глубокой стратегии защиты для обеспечения безопасности учетной записи может быть:
- Поскольку пароли являются распространенным механизмом аутентификации, требование наличия надежных, уникальных и сложных паролей затрудняет их угадывание или иное нарушение.
- Многофакторная аутентификация требует наличия нескольких факторов для аутентификации учетной записи, что затрудняет злоумышленнику использование скомпрометированного пароля.
- Принцип наименьших привилегий гласит, что пользователь, система, приложение и т. д. должны иметь только разрешения и доступ, необходимые для выполнения своей работы. Реализация наименьших привилегий ограничивает ущерб, который злоумышленник может нанести с помощью скомпрометированной учетной записи.
- Поведенческий мониторинг позволяет организации обнаруживать подозрительные, злонамеренные или опасные действия пользователя, прошедшего проверку подлинности. Затем компания может заблокировать эти действия и начать реагирование на инциденты.
Безопасность данных
Данные — это самый ценный актив большинства компаний. Комплексная защита для обеспечения безопасности данных может включать в себя следующие элементы управления:
- Шифрование — это фундаментальный элемент контроля безопасности данных. Доступ к зашифрованным данным возможен только с помощью соответствующих ключей шифрования, что затрудняет доступ к ним неавторизованным пользователям или злоупотребление ими.
- Средства контроля доступа могут использоваться для управления доступом к системам, данным и приложениям. Реализация контроля доступа с наименьшими привилегиями предотвращает доступ пользователей к данным без авторизации.
- Решения DLP предназначены для предотвращения утечки конфиденциальных данных за пределы организации. Это помогает гарантировать, что авторизованные пользователи не подвергают риску конфиденциальные корпоративные данные и данные клиентов.
- Помимо кражи, данные подвержены риску потери или шифрования вредоносными программами. Системы резервного копирования и восстановления помогают компании быстро восстанавливаться после событий, нарушающих бизнес.
Безопасность конечных точек
Корпоративные устройства могут стать мишенью вредоносных программ и других угроз. Элементы стратегии глубокой защиты для обеспечения безопасности конечных точек включают:
- IDPS, установленная на уровне сети или конечной точки, может идентифицировать и блокировать вредоносный контент до того, как он попадет на устройство пользователя.
- Антивирусное программное обеспечение использует сигнатуры для идентификации и блокирования известных вариантов вредоносных программ, получивших доступ к устройству.
- EPP обеспечивает более сложную защиту, выявляя и предотвращая заражение вредоносными программами с помощью машинного обучения и анализа угроз.
- EDR поддерживает усилия служб реагирования на инциденты по устранению вредоносного ПО, находящегося на корпоративных устройствах.
- Брандмауэр определяет границу сети и позволяет проверять весь трафик, входящий в корпоративную сеть и выходящий из нее. Брандмауэры могут блокировать входящие угрозы и предотвращать утечку конфиденциальных данных из сети.
- VPN или аналогичное решение для безопасного удаленного доступа предоставляет удаленным пользователям зашифрованный доступ к корпоративным сетям и позволяет организации управлять удаленным доступом к корпоративным приложениям и системам и контролировать его.
- Защищенный шлюз отслеживает и защищает трафик из защищенной сети в Интернет и облако. Это помогает предотвратить проникновение вредоносного контента через заражение или вредоносный веб-контент.
- Сегментация сети разбивает корпоративную сеть на блоки в зависимости от назначения и уровня классификации. Проверяется межсегментный трафик, что позволяет организации обнаруживать и блокировать попытки стороннего перемещения злоумышленника внутри периметра сети.