Системи моніторингу та боротьби з кіберзагрозами на базі WSS, EDR та PAM рішень

Abstract

На сьогоднішній день пріоритетною задачею кожного підприємства є захист даних свої замовників та працівників. Аналізуючи тенденцію розвитку нових векторів атак, можна зробити висновок, що вони стають більш складними для виявлення та потребують час від часу залучення допоміжних осіб для реалізації поставленої цілі. Якщо переглядати надану статистику, яку надає Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, було зареєстровано та опрацьовано близько 100 тисяч кіберінцидентів, більшість з них – поширення шкідливого програмного забезпечення та фішинг. Отже, найчастіше зловмисники використовують такі методи атак, як Фішинг, СМІшинг, Malicious. Згідно цієї статистики можна зробити висновок, що Україна є ціллю на, яку спрямовують різні види та тактики атак для заподіянню шкоди ІТ-інфраструктурі держави. На даний час є загроза не лише ІТ-інфраструктурі та Internet of Things (IoT), тобто є необхідність враховувати це при проектуванні захисту мережі. Це є критично важливим, оскільки обрана стратегія захисту, має на меті використання стороннього допоміжного програмного комплексу (агенту). В такому випадку буде здійснювати збирання даних для аналізу та розслідування інцидентів, а також реагування на них. В ІТ-інфраструктурі пристрої обмінюються інформацією за допомогою певних протоколів, наприклад, стандартні протоколи SSH, WMI тощо. В IoT використовуються так звані пропрієтарні протоколи, які система захисту повинна відслідковувати та відповідно реагувати. На сьогодні необхідним є також зменшення документообігу всередині організації та розмежування прав доступу користувачів до кінцевих цільових систем, наприклад, робочих станцій, веб-ресурсів, серверної інфраструктури. Коли потрібно отримати корпоративний доступ до певної інформаційної системи компанії, користувачу необхідно здійснити ряд запитів у вигляді листів на ім’я адміністратора, який, в свою чергу, має отримати погодження зі своїм керівником. Це призводить до незручностей в роботі та втрати робочого часу працівника. Зазначені проблеми вирішує система керування привілейованим доступом користувачів, яка має на меті за допомогою вбудованої рольової моделі надавати доступ, користувачу, Користувач, який не мав можливості мати безперервний доступ до певної цільової системи може отримати її за допомогою запиту в середині програмного рішення, що замінює лист з вимогою про надання доступу.