34 аббревиатуры для систем защиты информации

34 абревіатури для систем захисту інформації

Давайте почнемо з одної простої тези: інформаційні технології безупинно розвиваються. Крім очевидних переваг, які тягнуть за собою подібні якісні зміни, існує і ряд цілком очевидних труднощів. Найбільш релевантним з них є ускладнення систем захисту інформації.

Якщо колись давно можна було обійтися простим розмежуванням доступу і шифруванням конфіденційної інформації, то зараз так відразу і не розберешся, що саме використовувати. До деяких абревіатур (на кшталт IPS, DLP і WAF) вже багато хто звик. Однак копнувши трохи глибше – відкриється небачений світ багатофункціональних систем захисту і маркетингу. Розберемося, що ж означають всі ці модні абревіатури і що за ними ховається.

Нові системи весь час еволюціонують і намагаються закрити якомога більше завдань, через що стає все складніше розділити їх на групи. Будемо рухатися від “простого” до складного. Наша перша зупинка – захист додатків.

Захист додатків

AST – Application Security Testing

Інструменти аналізу і тестування додатків, які дозволяють не випустити з уваги уразливості, що діють на рівні ПО. Gartner виділяє чотири основних види AST:

  • Static AST (SAST) – тестування методом білого ящика. Дозволяє знаходити уразливості вихідного коду на ранніх етапах розробки.
  • Dynamic AST (DAST) – тестування методом чорного ящика. Допомагає знаходити уразливості і слабкості безпеки в працюючому додатку. Подібні інструменти моделюють заздалегідь відомий список зовнішніх атак на додаток.
  • Interactive AST (IAST) – поєднує в собі деякі з елементів двох попередніх підходів. Тестування відбувається в режимі реального часу, поки додаток працює в середовищі контролю якості або тестовому середовищі. Перевіряється в тому числі і сам код, але вже після складання.
  • Mobile AST – виявляє і аналізує уразливості мобільних додатків під час розробки і після неї.

SCA – Software Composition Analysis

Програмні рішення класу SCA призначені для автоматизованого виявлення ризиків і усунення вразливостей в коді, а також контролю використання зовнішніх елементів з відкритим вихідним кодом.

WAF – Web Application Firewall

Засоби фільтрації трафіку прикладного рівня, спеціально орієнтовані на веб-додатки і найчастіше використовуються для захисту вже готових програм. WAF може бути реалізований як хмарний сервіс, агент на веб-сервері або спеціалізоване апаратне або віртуальний пристрій. Класичне розміщення WAF в мережі – в режимі зворотного проксі-сервера, перед захищеними веб-серверами. Залежно від виробника можуть підтримуватися і інші режими роботи. Наприклад, прозорий проксі-сервер, міст або навіть пасивний режим, коли продукт працює з реплікацією трафіку.

RASP – Runtime Application Self-Protection

Ця технологія безпеки вбудована або пов’язана з додатком або середовищем виконання програми та здатна контролювати його виконання, а також виявляти і запобігати атакам в реальному часі. RASP може аналізувати поведінку програми та контекст, в якому воно відбувається, на відміну від захисту на основі периметра. Є два режими роботи:

  • діагностика (тільки оповіщення про загрози);
  • самозахист (заборона підозрілих інструкцій).

Захист даних

DAP – Database audit and protection

Системи даного класу забезпечують безпеку систем керування базами даних (СКБД). DAP – це розвиток базових можливостей моніторингу інструментів database activity monitoring (DAM), але при цьому вони мають такі додаткові функції, як:

  • виявлення і класифікація даних;
  • управління загрозами і уразливостями;
  • аналіз на рівні додатків;
  • запобігання вторгнень;
  • блокування активності;
  • аналіз управління ідентифікацією та доступом.

DLP – Data Leak Prevention или Data Loss Prevention

Системи запобігання витоку даних будуються на аналізі потоків даних, які перетинають периметр інформаційної системи яка захищається. При виявленні конфіденційної інформації спрацьовує активний компонент системи, і передача повідомлення (пакета, потоку, сесії) блокується або зберігається копія трафіку для постаналіза на випадок проведення розслідування можливого витоку.

DCAP – Data-Centric Audit and Protection

Ці засоби захисту конфіденційності даних знають, де зберігаються конфіденційні дані, визначають політики управління даними в бізнес-контексті, захищають дані від несанкціонованого доступу або використання, а також виробляють моніторинг і аудит даних, щоб переконатися у відсутності відхилень від нормальної поведінки. Незважаючи на новий підхід до захисту даних (а не периметра), рішення не знайшло велику популярність.

CASB – Cloud Access Security Broker

Інструмент контролю за хмарними додатками, ресурсами і сервісами. Він керує тим, як відбувається взаємодія між хмарними додатками і зовнішнім світом за допомогою проксі і / або API-режиму. Системи CASB можуть розгортатися як у локальному, так і в хмарному середовищі, а також у гібридної комбінації з використанням локальних і хмарних контрольних точок.

SDS – Software-Defined Storage

Програмне рішення, що забезпечує зберігання даних і управління ними. Основна відмінна можливість SDS – це віртуалізація функції зберігання, що відокремлює апаратне забезпечення від програмного, яке управляє інфраструктурою зберігання. У цьому сенсі SDS є розвитком концепції програмно-конфігурованої мережі.

Захист кінцевих точок

EPP – Endpoint Protection Platform

Це інтегроване рішення безпеки, призначене для виявлення та блокування загроз на рівні пристрою. Як правило, воно включає в себе антивірус, засоби захисту від-шкідливих програм, шифрування даних, персональні міжмережеві екрани, засоби запобігання вторгнень (IPS) і втрати даних (DLP). За своєю суттю рішення є превентивним, і більшість підходів, що використовуються в його роботі, засновані на сігнатурах. Втім, останнім часом виробники намагаються урізноманітнити арсенал використовуваних методів.

EDR – Endpoint Detection and Response

EDR були створені для виявлення і розслідування підозрілої поведінки (і його слідів) на кінцевих точках. Рішення забезпечує виявлення і запобігання прихованих процесів, повний огляд кінцевої точки, включаючи додатки, процеси та комунікації. Таким чином, EDR дозволяє знаходити шкідливу активність і спростити процес реагування на інциденти безпеки, збирати інформацію про інциденти, а також реалізувати захисні заходи (припинення процесів).
Інші варіанти назв:

  • STAP – Specialized Threat Analysis and Protection
  • EVC – Endpoint Visibility & Control

Контроль доступу

IAM — Identity and access management

Рішення для управління ідентифікацією і доступом до ресурсів, пристроїв, сервісів і додатків. Рішення даного класу часто входять до складу більш складних систем захисту.

IGA – Identity Governance and Administration

Розвиток технологій Identity Management (IdM) і IAM призвело до виникнення нового класу рішень для ідентифікації та управління доступом – IGA. Основна відмінність між ними полягає в тому, що IGA пропонують більш гнучкі налаштування і процеси узгодження доступу до ресурсів, а також мають системи поділу відповідальності для критичних бізнес-операцій і системи оцінки ризиків при налаштуванні ролей.

PAM – Privileged Access Management

Даний клас рішень покликаний затруднити проникнення в мережу і отримання доступу до привілейованих облікових записів, а також посилити захист привілейованих груп користувачів. Крім цього, PAM також розширює можливості моніторингу, видимості і деталізованого управління привілейованими обліковими записами. Зауважимо, що для позначення систем контролю привілейованих користувачів, зустрічаються й інші назви даного класу рішень, наприклад: Privileged User Management (PUM), Privileged Identity Management (PIM), Privileged Password Management (PPM), Privileged Account Security (PAS).

SDP – Software Defined Perimeter

Програмно-визначений периметр, також відомий як Zero Trust Network Access (ZTNA). Це новий підхід до захисту віддаленого доступу до мережевих служб, додатків і системам як локально, так і в хмарі. SDP розподіляє доступ до внутрішніх додатків на основі особистості користувача і з довірою, яке адаптується під поточний контекст. Крім іншого, SDP робить інфраструктуру додатків невидимою для інтернету, що дозволяє уникнути мережевих атак.

Захист мережі

SWG – Secure Web Gateways

Рішення даного класу дозволяють фільтрувати небажані або шкідливі програми з веб-трафіку, а також забезпечують дотримання корпоративних і нормативних політик. Вони мають у своєму розпорядженні наступний набор функцій:

  • фільтрація URL-адрес;
  • виявлення і фільтрація шкідливого коду;
  • мають засоби управління додатками для популярних веб-додатків.

Також все частіше зустрічається вбудоване або інтегроване в рішення захисту від витоку даних.

NGFW – Next-Generation Firewalls

Об’єднують багато можливостей традиційних міжмережевих екранів, включаючи:

  • фільтрацію пакетів;
  • перетворення мережевих адрес (NAT);
  • перетворення адрес портів (PAT);
  • блокування URL-адрес;
  • VPN з функціональністю quality of service (QoS);
  • та інші функції, яких немає в традиційних брандмауерах: запобігання вторгнень (IPS), перевірка SSL і SSH, deep-packet inspection, виявлення шкідливих програм на основі репутації і обізнаність про додатки.

NTA – Network Traffic Analysis

Продукти для аналізу мережевого трафіку, які здійснюють аналіз мережевих даних в режимі реального часу. Вони повинні володіти повною видимістю всередині реальних транзакцій (декодування протоколу додатки і дешифрування сучасних криптографічних стандартів), мати можливість розшифровувати трафік для аналізу без шкоди безпеці даних. NTA також можуть мати у своєму розпорядженні функціоналом, що дозволяє їм проводити поведінкову аналітику.

IDS – Intrusion Detection Systems

IDS аналізують і відстежують мережевий трафік на предмет ознак, які вказують на те, що зловмисники використовують відому кіберзагрозу для проникнення або крадіжки даних з вашої мережі. Системи IDS порівнюють поточну мережеву активність з базою даних відомих загроз, щоб виявити такі типи поведінки, як: порушення політики безпеки, шкідливе ПЗ і сканери портів.
Різновиди IDS: Network-, Protocol-, Application Protocol- і Host-based.

IPS – Intrusion Prevention System

IPS активно забороняє мережевий трафік на основі профілю безпеки, якщо цей пакет являє відому загрозу безпеці (логічне продовження IDS, часто реалізується система IDS / IPS).
Різновиди IPS: Network-, Wireless- і Host-based.

IDPS – Intrusion Detection and Prevention Systems

Це автономні фізичні та віртуальні пристрої, які перевіряють певний мережевий трафік (як локальний, так і хмарний). Вони часто розташовуються в мережі для перевірки даних, що проходять через такі пристрої захисту периметра, як брандмауери, безпечні веб-шлюзи і безпечні поштові шлюзи. IDPS забезпечують виявлення за допомогою таких способів:

  • сигнатур;
  • виявлення аномалій протоколу;
  • поведінкового моніторингу;
  • евристики;
  • інтеграції advanced threat defense (ATD);
  • threat intelligence (TI).

UTM – Unified threat management

Модифікація файрволу, що об’єднує в собі безліч функцій, пов’язаних із забезпеченням безпеки, наприклад, IDS / IPS, VPN, антивірус.

Аналіз всередині мережі

NBAD – Network behavior anomaly detection

Інструменти виявлення аномалій всередині мережі, які використовуються в якості додаткових засобів виявлення загроз для моніторингу мережевої активності і генерації попереджень, часто вимагають подальшої оцінки ІТ-команди. Системи здатні виявляти загрози та зупиняти підозрілі дії в ситуаціях, коли традиційне програмне забезпечення безпеки не ефективне. Крім того, інструменти підказують, які підозрілі дії або події вимагають подальшого аналізу.

BDS – Breach Detection System

Системи даного класу можуть бути реалізовані як програмне забезпечення або апаратний пристрій. Їх мета – виявити порушення безпеки всередині мережі, включаючи складні цілеспрямовані атаки. Підхід до виявлення шкідливого ПО складніший, ніж у антивірусних засобів, тому що береться до уваги оточення, а також можуть складатися ланцюжки подій, що вказують на шкідливу діяльність.

UEBA – User and Entity Behavior Analytics

Системи аналізу поведінки користувачів і сутностей дозволяють виявляти підозрілу поведінку користувачів і вузлів мережі в корпоративній інфраструктурі, яке випадає з поля зору SIEM-рішень.

Із залученням людей

SIEM – Security Information and Event Management

Забезпечує аналіз подій безпеки, що виходять від мережевих пристроїв і додатків, в реальному часі і дозволяє реагувати на них до отримання істотного збитку. Основне призначення – надання звітів про всі події, так чи інакше пов’язані з безпекою (в тому числі легітимних), створення сповіщень про нестандартні події.

SOC – Security Operations Center

SOC – це аналітики, що працюють з даними, які надходять від SIEM. SIEM збирає і призводить до єдиного вигляду дані про події безпеки, а завдання аналітиків – вирішити, як бути з тим чи іншим інцидентом безпеки. SOC можуть як реагувати на події самостійно, так і перенаправляти їх фахівцям з безпеки.

SOAR – Security Operations, Analytics and Reporting / Security Orchestration, Automation and Response

По суті це більш розвинена SIEM, тобто система збору, аналізу і реагування на інциденти безпеки. Рішення SOAR, що дозволяють більш автоматизовано визначати пріоритети і обробляти події та інциденти безпеки, розвивалися для того, щоб допомогти аналітикам SOC підвищити їх власну ефективність.

IRS – Incident Response Platforms

Системи автоматизації реагування на інциденти інформаційної безпеки покликані допомогти аналітикам SOC виконувати ряд рутинних операцій по збору додаткової інформації про інцидент, провести ряд стримуючих заходів, усунути загрози і провести відновлювальні заходи. Крім цього, в їх завдання входить сповіщення відповідальних осіб, а також збір звіту про інциденти.

TIP – Threat Intelligence Platform

Ці платформи здатні в режимі реального часу накопичувати інформацію про можливі загрози з різних джерел, класифікувати її і робити з нею різні операції, включаючи вивантаження в засоби захисту і SIEM-системи. У разі виникнення інциденту платформа надає повний контекст того, що відбувається, що дозволяє зменшити час реакції на інцидент і заблокувати джерело атаки.

MDR – Managed Detection and Response

MDR – зовнішня послуга, яка допомагає організаціям, яким не вистачає власних ресурсів, знаходити і усувати загрози безпеки. Послуги надаються з використанням власного набору інструментів і технологій вендора, але розгортаються на території користувача. Це також включає роботу людини: постачальники послуг безпеки надають своїм клієнтам можливість залучити дослідників і інженерів безпеки, які відповідають за моніторинг мереж, аналіз інцидентів і реагування на випадки безпеки.

Пастки (імітація системи)

DDP – Distributed Deception Platforms

Розвиток концепції Honeypot призвело до появи сучасних DDP, відмінною рисою яких стала імітація максимального числа ІТ-систем, включаючи не тільки сервери і кінцеві станції, але і мережеву інфраструктуру, додатки і дані. Розподілені платформи для імітації інфраструктури вбудовуються між цільовою системою і потенційним атакуючим. Ідея проста: зловмисник повинен думати, що це реальна система. При цьому сама система одночасно буде сприяти проактивному блокуванню атак шляхом обчислення вектора атаки на тестову інфраструктуру ще до того, як атакуючий отримає доступ до реальної системи, і допомагати в реагуванні на вже доконаний інцидент ІБ, завдяки розгорнутій аналітиці проходження атаки за тестовою інфраструктурі.

Імітація нападу

BAS – Breach and Attack Simulation

Це інструменти, що дозволяють підприємствам постійно і послідовно моделювати повний цикл атак на інфраструктуру підприємства (включаючи внутрішні загрози, бічне переміщення і фільтрацію даних) з використанням програмних агентів, віртуальних машин та інших засобів.

Розслідування

NFT – network forensic tools

Інструменти для мережевої криміналістики, моніторингу та аналізу мережевого трафіку з метою збору інформації, збору юридичних доказів, а також для виявлення та ідентифікації вторгнень.

Замість висновку

Кожному класу рішень відповідають продукти від різних вендорів. Їх функціональність може відрізнятися, якісь можуть більше відповідати ситуації, де вони будуть застосовуватися, якісь – менше. Тому підходити до вибору конкретного рішення під потреби компанії варто грунтовно. А перш ніж вибирати рішення, потрібно зрозуміти, який клас систем найкращим чином підійде для ваших завдань і умов.

Ми сподіваємося, що нам вдалося познайомити вас з системами захисту (і творчістю маркетологів) хоч і в дуже загальних рисах. Навіть в форматі лонгріда досить важко вичерпно описати ці системи з усіма подробицями і деталями. Технології не стоять на місці і нові класи рішень, безумовно ще будуть з’являтися.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

196

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх