Kibernetinėms atakoms vis sudėtingėjant savo išmanumu neatsilieka ir saugumo sprendimai. Vienas geriausių pavyzdžių – įsilaužimų prevencijos sistemos (IPS), papildančios ugniasienes. Tai viena iš daugeliui organizacijų prieinamų ir tuo pat metu – pažangių – technologijų, leidžiančių net neturint savo kibernetinio saugumo specialistų atremti naujausias ir labiausiai paplitusias kibernetines grėsmes.

Apie tai, kaip veikia įprasti bei pažangesni įsilaužimų prevencijos sprendimai ir į ką reikėtų atkreipti dėmesį, renkantis bei naudojant šios kategorijos sistemas, pasakoja saugumo gamintojo „Fortinet“ pardavimų vadovas Vytautas Kliorė ir „Blue Bridge“ sistemų inžinierius Mantas Zubavičius.

Padeda užtikrinti kokybiškesnę IT higieną

Pagrindinė įsilaužimų prevencijos sistemos funkcija – užkirsti kelią automatinėms ir tikslinėms atakoms, kurių metu bandoma pasinaudoti programinės įrangos spragomis. Kitaip nei ugniasienė, įsilaužimų prevencijos sprendimai papildomai „filtruoja“ gaunamus duomenis, lygina juos su turima informacija apie pažeidžiamumus ir tokiu būdu atpažįsta bei sustabdo grėsmes.

Ši bazinė įsilaužimų prevencijos sprendimų funkcija pirmiausia leidžia apsisaugoti nuo žinomų pavojų, kuriuos kelia laiku neatnaujintos sistemos arba programinė įranga kompiuteriuose, IT infrastruktūroje ir kituose įrenginiuose, priklausančiuose organizacijos tinklui arba turinčiuose priėjimą prie vidinių organizacijos duomenų.

„Pažangesni įsilaužimų prevencijos sprendimai taip pat gali laikinai „užlopyti“ spragas, aptiktas organizacijos tinkle esančiose sistemose. Tai reiškia, kad esant vidinio organizacijos tinklo pažeidžiamumui, įsilaužimų prevencijos sprendimas suteikia laikiną apsaugą, kol IT administratoriai suplanuoja būtinus atnaujinimus bei pašalina spragas. Taip užtikrinama kokybiškesnė IT saugumo higiena, kuri yra būtina atremiant labiausiai paplitusias kibernetines atakas“, – pažymi „Fortinet“ pardavimų vadovas Vytautas Kliorė.

Informacija atkeliauja ir iš NATO

Renkantis įsilaužimų prevencijos sistemą svarbu atkreipti dėmesį ne tik į kainą, techninius parametrus ir priežiūros ypatybes, bet ir į tai, ar gamintojas turi analitikos centrą ir kiek šis centras išvystytas. Būtent nuo to priklauso, kokias grėsmes „moka“ atpažinti įsilaužimų prevencijos sistema.

„Nors įsilaužimų prevencijos sprendimai, priklausomai nuo gamintojo, veikia skirtingais metodais, tačiau, kaip minėta, jų veikimu principas panašus – jie lygina gamintojo atsiunčiamus duomenis apie grėsmes, vadinamus atakų aprašus (angl. signatures), su įeinančiu duomenų srautu. Tai, kokia informacija disponuoja įsilaužimų prevencijos sprendimas, priklauso nuo to, kiek gamintojas investuoja į savo analitikos centrą. Paprastai tokiuose centruose dirba kibernetinio saugumo specialistai, naudojamos pažangios technologijos, pavyzdžiui, dirbtinis intelektas. Yra ir dar vienas įdomus aspektas, susijęs su gamintojo užimama rinkos dalimi. Kadangi pagrindinė tokių saugumo centrų funkcija – apjungti, apdoroti ir pasidalinti informacija apie grėsmes – kuo daugiau naudotojų visame pasaulyje turi gamintojo įrenginius, tuo daugiau informacijos iš įvairių pasaulio kampelių apie atakas toks centras gauna ir gali pasidalinti šiais duomenimis su savo kitais naudotojais“, – pastebi „Fortinet“ atstovas.

Gamintojo įrenginiai nėra vienintelis informacijos apie grėsmes šaltinis. Saugumo sprendimų gamintojai dalijasi informacija apie pastebėtas saugumo grėsmes ir tarpusavyje, ir su tarpvalstybinėmis institucijomis, tokiomis kaip NATO, Interpolas, Reagavimo į kompiuterinio saugumo incidentus grupė (CERT-EU) ir, savo ruoštu, gauna iš šių institucijų informaciją apie fiksuojamus iššūkius saugumui.

Padeda sumažinti „zero days“ atakų skaičių

Didesni saugumo sprendimų gamintojai taip pat turi specialistus, dedikuotus nežinomų saugumo spragų paieškai ir užkardymui. Tokiu būdu įsilaužimų prevencijos sistemos nuolat tobulėja ir tampa pažangesnės.

Vytautas Kliorė, Fortinet

Vytautas Kliorė, Fortinet

„Pavyzdžiui, „Fortinet“ kibernetinio saugumo analitikos centras „FortiGuard“ bendradarbiauja ne tik su tarpvalstybinėmis institucijomis ir kitais saugumo sprendimų gamintojais, bet ir su didžiausiais programinės bei techninės įrangos gamintojais, tokiais kaip „Microsoft“, „Adobe“, „IBM“. Tai reiškia, kad kibernetinio saugumo požiūriu analizuojami šių gamintojų sprendimai, ieškoma potencialių pažeidžiamumų ypač populiariose ir plačiai naudojamose aplikacijose. „Fortinet“ specialistai jau aptiko virš 800 potencialių „nulinės dienos“ atakų. Be to, „FortiGuard“ specialistai analizuoja garsiausių kibernetinių nusikaltėlių taktikas ir rengia instrukcijas, kaip atremti jų atakas. Šiomis įžvalgomis dažniausiai naudojasi organizacijos, turinčios savo saugumo centrus ir specialistus“, – pasakoja V. Kliorė.

Duomenys apie naujausius pažeidžiamumus, kuriuos surenka saugumo gamintojų analitikos centrai, pasiekia įrenginius automatiškai. „Tokiu būdu, įsigiję patikimo gamintojo įsilaužimų prevencijos sprendimą, operatyviai gaunate apsaugą nuo pačių naujausių grėsmių, kurios pastebėtos kitose šalyse ar žemynuose. Turint omeny, kad didžiąją dalį kibernetinių grėsmių sudaro žinomų arba neseniai rastų pažeidžiamumų išnaudojimas, įsilaužimų prevencijos sprendimas padeda sutaupyti laiko ir skirti daugiau dėmesio darbuotojų švietimui apie socialinės inžinerijos metodus, kurie, kaip žinia, nutaikyti į žmogų, todėl dažnai apeina net pačius išmaniausius saugumo sprendimus“, – pastebi „Fortinet“ pardavimų vadovas.

Atsparumui grėsmėms įtakos turi ir sprendimo konfigūracija

Pažangios technologijos, kurioms naudojamasi didinant įsilaužimų prevencijos sprendimo efektyvumą, vis dėlto negarantuoja maksimalios apsaugos. Ne ką mažiau svarbu pritaikyti savo organizacijos sistemoms ir IT infrastruktūrai įsilaužimo prevencijos sprendimą, o tai – ne visuomet paprasta, sako „Blue Bridge“ sistemų inžinierius Mantas Zubavičius.

„Nors įsilaužimų prevencijos sprendimai nėra naujovė, tačiau su šio sprendimo naudojimo iššūkiais susiduriama neretai. Dažniausia to priežastis – pasikartojantys pranešimai apie grėsmes, kurie nepasitvirtina, „gero“ srauto blokavimas ir t. t. Didžioji dalis šių iššūkių pasitaiko, kai tam tikrą sistemų elgseną, kai kada – ir kodo ypatybes – įsilaužimų prevencijos sprendimas atpažįsta kaip potencialią grėsmę. Tokios problemos lemia, kad net įsigijus įsilaužimų prevencijos sprendimą, jis anksčiau ar vėliau tiesiog išjungiamas, nes generuoja per daug „triukšmo“, – pastebi „Blue Bridge“ atstovas.

Užbėgti už akių šiems iššūkiams padeda tinkamas įsilaužimo prevencijos sprendimo konfigūravimas. „Nepaisant to, kad įsilaužimo prevencijos sistemos yra pažangus sprendimas, vien jį įsigyti ir įjungti neužtenka. Tai garantuoja tik automatinį veikimą, kuris kai kuriais atvejais gali sukelti daugiau problemų, nei atnešti naudos. Apibendrinant, reikėtų akcentuoti, kad įsilaužimo prevencijos sprendimas reikalauja pradinės konfigūracijos, pavyzdžiui, nurodant savo naudojamų sistemų ypatybes kaip išimtis, kad jos nebūtų interpretuojamos kaip grėsmės“, – pasakoja M. Zubavičius.

Dėl šios priežasties, į įsilaužimo prevencijos sprendimo įsigijimo kaštus reikėtų įskaičiuoti ir laiką bei investicijas, kurių reikia tinkamam sprendimo parengimui. „Ko gero, pats nenaudingiausias scenarijus – šio sprendimo įsigijimas ir vėlesnis svarbiausių jo funkcijų atsisakymas, tačiau, kaip rodo patirtis, būtent tokia situacija susiklosto dažniausiai“, – pastebi pašnekovas.

Domina įsilaužimų prevencijos sprendimas? Susisiekite su „Blue Bridge” saugumo specialistais: