Сравнительный обзор классов IDS, XDR или DLP

Для обеспечения информационной безопасности (далее — ИБ) корпоративной ИТ-инфраструктуры от утечек данных или кибератак используются инструменты классов IDS (Intrusion Detection System, система обнаружения вторжений), XDR (Extended Detection and Response, расширенное обнаружение и реагирование) или DLP (Data Leak Prevention, предотвращение утечек конфиденциальных данных).

Система обнаружения вторжений — IDS

Это программно-аппаратные или программные инструменты, которые обнаруживают атаки на систему корпоративной безопасности. Решения этого класса работают с внешним и внутренним трафиком компании.

Обнаружение угроз осуществляется двумя методами. Первый метод подразумевает использование данных из базы сигнатур, которую со стороны разработчика необходимо регулярно обновлять. Второй метод предполагает использование данных о правильном поведении. Любое отклонение от модели корректного поведения приведёт к уведомлению об этом специалиста ИБ.

Основные функциональные возможности решений класса IDS:

• контроль качества системного администрирования,
• выявление вторжений и сетевых кибератак,
• распознавание источника вторжения (хакеры извне или инсайдеры),
• поиск уязвимостей,
• анализ трафика и сопоставление результатов с базой данных о сигнатурах вторжений,
• прогнозирование вторжений,
• создание отчётов,
• ведение журналов пакетов,
• выявление уязвимостей.

Решения класса IDS обнаруживают:

• попытки получения несанкционированного доступа к базам данных,
• активность ботов,
• вторжения в локальную сеть в режиме реального времени,
• активность сканера портов,
• подозрительную активность.

Решения этого класса не отражают атаки на сеть, а лишь обнаруживают их, уведомляют администратора или специалиста ИБ, указывая источник угрозы. Они помогают в устранении опасности и расследовании инцидентов.

Наиболее часто используются виды решений IDS, отличающиеся друг от друга по месту их установки: на уровне сети (англ. NIDS, Network Intrusion Detection System) и на уровне хоста (англ. HIDS, Host-based Intrusion Detection System).

Расширенное обнаружение и реагирование — XDR

Это программные комплексы облачной модели SaaS (англ. Software as a Service), обеспечивающие интеграцию продуктов для информационной защиты корпоративных конечных точек, облачных приложений, электронной почты, серверов и других ресурсов ИТ-инфраструктуры.

Функциональные возможности систем XDR включают в себя комплексный подход к инцидентам ИБ:

• Обнаружение и нейтрализация вторжений в автоматическом режиме. Система определяет угрозу, даёт ей оценку и нейтрализует в режиме реального времени. Это позволяет уменьшить корпоративную нагрузку и распознать трудно узнаваемые угрозы ИБ.
• Аналитика больших объёмов данных, собранных с множества источников (электронная почта, удостоверения, приложения, данные хранилищ и сетей и т. п.). Она позволяет облегчить специалистам ИБ поиск угроз и следить за временной шкалой развёртывания вторжения, а также обнаружить угрозы, которые прежде оставались незамеченными.
• Применение методов машинного обучения и искусственного интеллекта для обеспечения эффективной работы решений и возможности их масштабирования. Искусственный интеллект помогает обнаруживать аномалии, оповещать о них, расследовать угрозы, нейтрализовать их или сдерживать. Машинное обучение помогает создавать профили аномального поведения и привлекать внимание аналитиков.
• Работа с последствиями атак. Система проводит действия по восстановлению безопасного состояния затронутых атакой ресурсов, определяя злоумышленников среди корпоративных пользователей, завершая или удаляя вредоносные процессы и правила.
• Работа с оповещениями. Система осуществляет сбор и корреляцию оповещений ИБ. Это позволяет создать полную картину атаки или инцидента ИБ, сужая тем самым область расследования и уменьшая нагрузку на аналитиков.

Решения класса XDR имеют некоторые преимущества с точки зрения обеспечения ИБ предприятия:

• Предоставление аналитикам более полной картины текущего положения дел со стороны корпоративной информационной защиты. Система собирает телеметрические сведения из всевозможных конечных точек, приложений, электронной почты, сетей и других источников.
• Управление оповещениями. Экономит время аналитиков и специалистов ИБ, помогает проводить оптимизацию генерации оповещений и сократить количество ненужных уведомлений во входящих папках.
• Приоритизация инцидентов позволяет эффективно планировать рекомендуемые действия в соответствии с корпоративными стандартами и политиками.
• Автоматизация повторяющихся задач.
• Централизованное управление.
• Выявление действий злоумышленников в режиме реального времени и активация автоматических средств исправления. Это сокращает время несанкционированного доступа к корпоративным информационным ресурсам.
• Использование всех корпоративных средств защиты, обеспечение реагирования и нейтрализации, а также централизованного процесса аналитической работы.

Предотвращение утечек конфиденциальных данных — DLP

Решения класса DLP представляют собой программное обеспечение, которое мониторит передачу корпоративных данных из компании и блокирует файлы, содержащие конфиденциальную информацию, руководствуясь политикой ИБ.

Они защищают ИТ-систему от мошенников и управляют корпоративными рисками. Для этого в решениях применяются визуальная и предиктивная аналитики, технологии искусственного интеллекта. Также системы этого класса применяются для обучения корпоративных офисных сотрудников стандартам и понятиям ИБ. Главным фокусом являются активность сотрудников компании внутри ИТ-инфраструктуры.

Для работы используется лингвистический метод анализа всех исходящих корпоративных данных на предмет их секретности и степени конфиденциальности. Некоторые разработчики таких решений создают для своих клиентов собственные корпоративные словари для достижения максимально точного анализа.

Функциональные возможности решений класса DLP включают в себя:

• защиту конфиденциальных данных;
• защиту персональных данных (как сотрудников компании, так и корпоративных клиентов);
• контроль каналов коммуникаций;
• обнаружение нецелевого использования информационных ресурсов компании;
• обнаружение нелояльных к компании и корпоративной политике сотрудников;
• защиту от мошеннических действий и коррупции;
• работу с географически распределёнными сетями;
• контроль хранилищ данных;
• защиту от кражи данных;
• защиту от саботажа;
• запись разговоров сотрудников между собой в офисе и по телефону;
• проведение расследований инцидентов;
• контроль активности пользователей на рабочих станциях;
• контроль рабочего времени сотрудников;
• ведение отчётов об инцидентах и журналов событий ИБ.

Решения класса DLP имеют ряд преимуществ:

• высокая скорость анализа (даёт возможность обеспечения безопасности больших объёмов персональной конфиденциальной информации, которые содержатся в анкетах, опросниках и бланках);
• небольшое количество ложных срабатываний и точное детектирование информации, составляющей коммерческую тайну;
• возможность вовлечения в управление безопасностью всех корпоративных подразделений;
• поддержка сложных структур, что делает решения подходящими для работы в крупных компаниях с территориально распределёнными филиалами;
• хранение событий ИБ в единой базе данных (даёт возможность расследовать инциденты с использованием специальных инструментов: карточек сотрудников, граф связей и персональных досье);
• возможность расширения функционала системы.

DLP-решения защищают такие каналы передачи данных, как:

• приложения;
• данные, хранящиеся на внешних носителях информации;
• сервисы передачи мгновенных сообщений;
• электронная почта;
• данные, передаваемые на печать;
• данные, проходящие через HTTP, HTTPS и FTP.

Особенности установки всех трёх решений

Многие решения классов DLP и IDS имеют модульную структуру, что даёт возможность индивидуально выбирать отдельные нужные каналы, требующие обеспечения безопасности. В результате формируется уникальная конфигурация каждого решения, которая собирается под нужды конкретной компании. Также такие системы можно масштабировать за счёт приобретения дополнительных лицензий на каждый модуль.

Решения класса XDR могут включать в себя модули DLP и IDS, а также другие инструменты. Одной из важнейших функций как раз является интеграция в единое целое всех возможных инструментов для специалиста ИБ. Этому классу решений необходимы регулярные обновления из-за часто меняющихся и появляющихся данных.

На что обратить внимание при выборе решения

Итак, системы IDS и XDR обнаруживают внешние угрозы, в то время как DLP-решения занимаются защитой от внутренних угроз. В комплексе они оптимально друг друга дополняют.

Самой сложной из описанных выше систем является XDR, поскольку она включает в себя функционал DLP и IDS. Именно поэтому решения этого класса подойдут для крупных корпоративных структур. В случае, если необходимо защитить только определённый участок ИТ-инфраструктуры, целесообразно выбрать DLP или IDS, опираясь на потребности и поставленные задачи, так как XDR может оказаться нецелесообразно дорогостоящим решением.

Решения российских производителей

IDS: ViPNet IDS NS, ПАК «Рубикон», «С-Терра СОВ», Traffic Inspector Next Generation.

XDR: PT XDR, Kaspersky Symphony XDR, Kaspersky Anti Targeted Attack, Managed.

DLP: InfoWatch Traffic Monitor, Zecurion DLP, Solar Dozor, «Кибер Протего», Staffсop Enterprise, «Гарда Предприятие», «Стахановец».