Сегодня киберугрозам подвержено подавляющее большинство компаний независимо от их размеров, сферы деятельности и уровня готовности к отражению угроз. Атаки и угрозы, начиная с неизвестных вредоносных программ, бесфайловых атак и шифровальщиков и заканчивая более сложными APT-подобными атаками и целевыми кампаниями, демонстрируют широкое разнообразие в плане подходов, а также времени и усилий, которые киберпреступники готовы в них вложить.
Сейчас каждое предприятие должно быть в состоянии противодействовать сложным угрозам, даже в условиях нехватки персонала и знаний в области информационной безопасности. Многие организации не имеют в штате специалистов по ИБ, у некоторых есть полноценные службы ИБ, обладающие необходимой квалификацией, а другие только начинают формировать соответствующие отделы.
По данным опроса «Лаборатории Касперского»*, для 70% российских компаний вопрос защиты данных является главной проблемой, связанной с кибербезопасностью. При общей обеспокоенности этим вопросом выбор стратегии защиты будет меняться в зависимости от сферы деятельности, размера компании, сложности потенциальных угроз, направленных на них, а также наличия ИБ-экспертизы и в целом уровня зрелости ИБ-процессов организации.
Каждая организация уникальна и специфична, но в целом можно проследить взаимосвязь между уровнем зрелости ИБ-процессов в компании, количеством сотрудников и уровнем готовности к отражению атак различного уровня сложности. По мере расширения бизнеса меняется организационная структура, перестраиваются бизнес-процессы, разрастается и обновляется ИТ-инфраструктура. Меняются и инструменты злоумышленников – они готовы усиливать свой киберпреступный арсенал в попытке извлечь выгоду.
На первом этапе, больше характерном для компаний СМБ-сегмента, вопросы обеспечения ИБ, как правило, не выходят за пределы ИТ-функции: кибербезопасность рассматривается как чисто «технический» вопрос. У бизнеса отсутствует единая политика развития системы обеспечения информационной безопасности (СОИБ), а финансирование ведется в рамках общего ИТ-бюджета.
На этом этапе ИБ реализуется с помощью базовых инструментов по информационной безопасности, базирующихся на превентивных технологиях: решения для защиты рабочих мест, физических и виртуальных серверов, систем хранения данных, а также почты, веб-трафика и пр. В Kaspersky Security Foundations входят, к примеру, такие продукты, как Kaspersky Security для бизнеса, Kaspersky Security для виртуальных и облачных сред, Kaspersky Security для систем хранения данных, Kaspersky Security для почтовых серверов, Kaspersky Security для интернет-шлюзов и др.
На этом уровне от клиентов не требуется специальных знаний в области безопасности или дополнительных рабочих ресурсов. Он не только позволяет удовлетворить потребности малых предприятий, у которых нет собственной службы безопасности, но также служит фундаментальной ступенью для средних и крупных предприятий на пути построения ими целостной стратегии кибербезопасности, поскольку устранение большого количества мелких инцидентов, не связанных со сложными атаками, делает возможным эффективное применение второй и третьей ступеней защиты.
На втором этапе находятся компании верхнего сегмента СМБ и не очень большие организации сегмента Enterprise. Для них характерно выделение ИБ в отдельную функцию, часто все еще в составе ИТ-отдела, но уже с более высоким приоритетом и иногда с отдельным бюджетом. Кибербезопасность выстраивается более комплексно, утверждается программа развития СОИБ.
Для компаний этого уровня «Лаборатория Касперского» предлагает Kaspersky Optimum Security. Это предложение покрывает ИБ-потребности компаний малого и среднего бизнеса, у которых нет серьезных компетенций по ИБ. Компания или получает простое в использовании сочетание продуктов с базовыми возможностями расследования и реагирования на инциденты, или может полностью положится на экспертизу «Лаборатории Касперского» и получить круглосуточный мониторинг безопасности. Самым эффективным шагом к безопасности будет совместить два подхода – собственной и управляемой защиты.
Центральным элементом при выстраивании организацией собственной защиты выступает «Kaspersky EDR для бизнеса Оптимальный» — комплексное решение для защиты конечных точек, которое включает в себя все возможности «Kaspersky Endpoint Security для бизнеса Расширенный», дополняя его базовыми технологиями EDR, что позволяет повысить прозрачность инфраструктуры и быстро реагировать на более сложные угрозы. А доступ на портал Kaspersky Threat Intelligence предоставляет дополнительный контекст и ускоряет процесс расследования.
Решение Kaspersky EDR для бизнеса Оптимальный может быть усилено автоматизированной песочницей Kaspersky Sandbox, которая помогает организациям противостоять новым угрозам, способным обходить используемую защиту рабочих мест. Решение проводит динамический анализ уклоняющихся от обнаружения киберугроз, значительно повышая долю автоматически блокируемых атак.
Kaspersky EDR для бизнеса Оптимальный и Kaspersky Sandbox интегрированы между собой, управляются из одной консоли и дополняют друг друга, что позволяет компаниям этого сегмента получить единую защитную систему, способную своевременно реагировать на передовые киберугрозы.
На этом этапе может проводиться обучение сотрудников принципам безопасной работы. Например, с помощью решения для повышения киберграмотности сотрудников компании — Kaspersky Security Awareness.
Кроме того, «Лаборатория Касперского» на этом уровне предлагает клиентам свой сервис по обнаружению, расследованию и реагированию на угрозы (Kaspersky MDR Optimum), благодаря которому небольшие организации мгновенно получают передовую защиту от сложных угроз.
Наконец, третий уровень ИБ-потребностей наиболее характерен крупному бизнесу, корпорациям. Здесь ИБ уже занимает значимую позицию в стратегии развития компании, в топ-менеджменте может появиться роль директора по информационной безопасности (Chief Information Security Officer). За кибербезопасность уже, как правило, отвечает выделенная экспертная команда, финансирование ведется в рамках отдельного бюджета.
Kaspersky Expert Security – экспертное предложение для средних и крупных организаций со зрелой ИБ-экспертизой, которое помогает противостоять всему спектру современных сложных угроз, APT-подобных и целевых атак. У ИБ-экспертов теперь есть всё необходимое, чтобы отражать кибератаки любого масштаба и сложности: технологии мирового уровня, оперативные и достоверные данные об угрозах, экспертные знания и всесторонняя поддержка со стороны «Лаборатории Касперского».
Инструменты пополняются такими технологиями, как SIEM (Security information and event management), EDR (Endpoint Detection and Response), XDR (Extended Detection and Response). «Лаборатория Касперского» предлагает свои решения данных классов: соответственно, Kaspersky Unified Monitoring & Analysis Platform, Kaspersky EDR, Kaspersky Anti Targeted Attack. Могут также использоваться инструмент анализа высокопрофессионального вредоносного ПО — Kaspersky Research Sandbox или решение по выявлению авторства продвинутых атак, сложного вредоносного ПО — Kaspersky Threat Attribution Engine.
Приоритетными задачами служб информационной безопасности становятся выявление угроз за минимальное количество времени, ускоренное реагирование и анализ первопричин инцидента. Для решения этих задач недостаточно поставить и настроить защитный софт, возникает потребность в сопутствующих сервисах: для полноценной работы SOC требуются потоки данных об угрозах, экспертам-операторам SOC нужны аналитические отчеты и доступ к данным об актуальных угрозах – Kaspersky Threat Intelligence. Также не стоит забывать о важности повышения экспертизы существующих ИБ-экспертов с помощью различных обучающих программ, например Kaspersky Cybersecurity Training. И еще у экспертов должна быть возможность положиться на внешних ИБ-экспертов для анализа защищенности (Kaspersky Security Assessment), оперативной помощи с инцидентами (Kaspersky Incident Response) и круглосуточной управляемой защиты (Kaspersky MDR Expert).
Крупный бизнес и госорганы имеют также специфические требования к применяемым технологиям. Так, для защиты органов государственной власти РФ и госучреждений могут применяться только сертифицированные продукты. Многие решения «Лаборатории Касперского» имеют сертификаты соответствия ФСТЭК России и ФСБ, включены в единый реестр российского ПО. Все это дает возможность их использования в организациях с повышенными требованиями к уровню безопасности и защите данных, в том числе составляющих государственную тайну.
Некоторые компании готовы передавать функции по киберзащите на аутсорсинг провайдерам соответствующих услуг, MSSP (Managed Security Services Provider). Особенно эта практика используется на западных рынках, и во многих случаях привлечение MSSP вполне оправдано и выгодно.
Внешние эксперты сегодня могут помочь со всем спектром задач в области кибербезопасности — от обучения специалистов до реализации функций SOC. Иногда бизнес отдает лишь экономически невыгодные ему или слишком трудоемкие задачи. Кроме того, у организации может не быть мощностей и экспертов для разворачивания ресурсоемких SOC. Сотрудничество с профильным аутсорсером позволяет найти решение, которое закрывает потребности бизнеса и не заставляет тратить лишние средства.
Все перечисленные продукты «Лаборатории Касперского» готовы к применению поставщиками услуг безопасности (MSSP). Таким образом, компания предоставляет свои продукты организациям, которые хотят работать с проверенными MSSP, и делится своим опытом с поставщиками услуг, готовыми к разработке высокоуровневого предложения по защите от сложных угроз.
Сегодня бизнес должен быть оснащен технологиями, актуальной информацией и знаниями, позволяющими гибко адаптироваться к постоянно меняющемуся ландшафту угроз. Специалисты «Лаборатории Касперского» более 20 лет изучают киберугрозы и разрабатывают передовые технологии защиты от них. Обладая глубокой экспертизой и обширным опытом реализации сложных проектов в области кибербезопасности, «Лаборатория Касперского» готова обеспечить многоуровневую поддержку компании любого размера для повышения эффективности в борьбе со все более сложными угрозами.