ИТ сигурността е гореща тема. Това е най-малкото, което можем да кажем. Заплахите са навсякъде и защитата срещу тях е безкрайна битка. Отминаха дните, когато всичко, което се нуждаеше, беше софтуер за защита от вируси. Сложността на съвременната сцена за ИТ заплахи е равна – ако не и по-добра – от тази на системите, които се опитваме да защитим. Атаките идват във всякакви форми и форми и излагат бизнеса ни на риск ежедневно. За да се предпазим от тях, се нуждаем от висококачествена система за наблюдение на заплахите. За щастие свършихме част от упоритата работа по намирането им и се радваме да ви представим най-добрите системи за наблюдение на ИТ заплахи.
Ще започнем нашето проучване, като се опитаме да дефинираме какво представлява наблюдението на ИТ заплахи. Различните хора може да имат различни дефиниции – и всички те са еднакво добри – но в името на нашата дискусия е важно всички да сме на една и съща страница и да споделяме общо разбиране. След това ще се опитаме да премахнем известно объркване относно това какво представлява наблюдението на ИТ заплахите и, което е по-важно, какво не е. След това ще продължим да обясняваме как работи мониторингът на ИТ заплахите, какви са предимствата му и защо ви е необходим. И накрая, ще бъдем готови да разкрием резултата от нашето търсене на най-добрите системи за наблюдение на ИТ заплахи и ще прегледаме всяка от най-добрите системи, които открихме.
Съдържание
Какво е мониторинг на ИТ заплахите — определение
Мониторингът на ИТ заплахите обикновено се отнася до процеса на непрекъснато наблюдение на мрежите и техните компоненти (включително сървъри, работни станции и друго оборудване) за всякакви признаци на заплаха за сигурността. Това могат да бъдат например опити за проникване или кражба на данни. Това е всеобхватен термин за наблюдение или мрежа срещу всякакви злонамерени дейности.
ИТ специалистите разчитат на наблюдение на ИТ заплахите, за да получат видимост в своите мрежи и потребителите, които имат достъп до тях. Идеята тук е да се даде възможност за по-силна защита на данните и да се предотвратят – или поне да се намалят – възможните щети, които могат да бъдат причинени от пробиви.
В днешния свят, където изобщо не е необичайно да видите организации, наемащи независими изпълнители, отдалечени работници и дори вътрешен персонал, използващ собствените си устройства на работа, съществува допълнителен риск за чувствителните данни на организациите. Без директен контрол върху тези устройства на трети страни, единствената възможност е ефективно да наблюдавате цялата дейност.
Мониторингът на ИТ заплахите е доста сложен въпрос, главно защото злонамерени потребители и групи използват техники, които се развиват толкова бързо, колкото – ако не и по-бързо от останалите информационни технологии, за да пробиват мрежи и да крадат данни. Поради тази причина системите за наблюдение на ИТ заплахите също трябва да се развиват постоянно, за да бъдат в крак със сцената на заплахата.
Какво не е – избягване на объркване
ИТ сигурността е огромен и сложен домейн и е лесно да се объркат нещата. И лесно може да има известно объркване относно това какво е наблюдението на ИТ заплахи или какво не е. Например, системите за откриване на проникване (IDS), разбира се, се използват за наблюдение на мрежите за заплахи. Това би направило тези системи системи за наблюдение на ИТ заплахи. Но това не е това, към което обикновено се отнасяме тогава, когато говорим за наблюдение на ИТ заплахи.
По същия начин, информацията за сигурността и управлението на събития (SIEM) също често се счита за форма на решение за наблюдение на ИТ заплахи. Разбираемо е, че тези системи могат да се използват и за защита на нашите инфраструктури срещу злонамерено използване.
Софтуерът за защита от вируси също може да се счита за системи за наблюдение на ИТ заплахи. В крайна сметка те също се използват за защита срещу същия тип заплахи, макар и с различен подход.
Но взети поотделно, тези технологии обикновено не са това, което имаме предвид, когато говорим за наблюдение на ИТ заплахи.
Както можете да видите, концепцията за наблюдение на ИТ заплахите не е съвсем ясна. В името на тази статия разчитахме на самите доставчици и това, което те виждат като софтуер за наблюдение на ИТ заплахи. Има смисъл, защото в крайна сметка наблюдението на ИТ заплахи е неясен термин, който може да се приложи за много неща.
Как работи мониторингът на ИТ заплахите
Накратко, мониторингът на ИТ заплахите се състои от непрекъснат мониторинг и последваща оценка на данните за сигурността с цел идентифициране на кибератаки и пробиви на данни. Системите за наблюдение на ИТ заплахите събират различна информация за околната среда. Те получават тази информация, използвайки различни методи. Те могат да използват сензори и агенти, работещи на сървъри. Някои също ще разчитат на анализиране на модели на трафик или анализиране на системни регистрационни файлове и дневници. Идеята е бързо да се идентифицират конкретни модели, които са показателни за потенциална заплаха или действителен инцидент със сигурността. В идеалния случай системите за наблюдение на ИТ заплахите се опитват да идентифицират заплахите, преди да имат неблагоприятни последици.
След като заплахата бъде идентифицирана, някои системи имат процес на валидиране, който гарантира, че заплахата е реална и че не е фалшиво положителна. За постигането на това могат да се използват различни методи, включително ръчен анализ. След като идентифицираната заплаха бъде потвърдена, се издава предупреждение, уведомяващо подходящия персонал, че трябва да се предприемат някои коригиращи действия. Като алтернатива, някои системи за наблюдение на ИТ заплахи също ще стартират някаква форма на контрамярка или коригиращи действия. Това може да бъде или персонализирано действие или скрипт, или, както често се случва с най-добрите системи, напълно автоматизиран отговор въз основа на откритата заплаха. Някои системи също ще позволят комбинацията от автоматизирани, предварително дефинирани действия и персонализирани такива за възможно най-добър отговор.
Предимствата на мониторинга на ИТ заплахите
Идентифицирането на иначе неоткрити заплахи е, разбира се, основната полза, която организациите печелят от използването на системи за наблюдение на ИТ заплахи. Системите за наблюдение на ИТ заплахите ще открият външни лица, които се свързват с вашата мрежа или я преглеждат, както и ще открият компрометирани и/или неоторизирани вътрешни акаунти.
Въпреки че те могат да бъдат трудни за откриване, системите за наблюдение на ИТ заплахи свързват различни източници на информация за дейността на крайната точка с контекстуални данни като IP адреси, URL адреси, както и подробности за файлове и приложения. Заедно те осигуряват по-точен начин за идентифициране на аномалии, които биха могли да показват злонамерени дейности.
Най-голямото предимство на системите за наблюдение на ИТ заплахите е намаляването на рисковете и максимизирането на възможностите за защита на данните. Те ще направят всяка организация по-добре позиционирана да се защитава както от външни, така и от вътрешни заплахи, благодарение на видимостта, която осигуряват. Системите за наблюдение на ИТ заплахите ще анализират достъпа и използването на данни и ще наложат политики за защита на данните, предотвратявайки загубата на чувствителни данни.
Конкретно, системите за наблюдение на ИТ заплахите ще:
Покажете ви какво се случва във вашите мрежи, кои са потребителите и дали са изложени на риск или не,
Позволява ви да разберете колко добре използването на мрежата съответства на политиките,
Помага ви да постигнете регулаторно съответствие, което изисква наблюдение на чувствителни типове данни,
Намерете уязвимости в мрежи, приложения и архитектура за сигурност.
Необходимостта от мониторинг на ИТ заплахите
Факт е, че днес ИТ администраторите и специалистите по ИТ сигурност са под огромен натиск в свят, в който киберпрестъпниците изглежда винаги са крачка или две пред тях. Техните тактики се развиват бързо и те работят реално, като винаги изпреварват традиционните методи за откриване. Но най-големите заплахи не винаги идват отвън. Вътрешните заплахи вероятно са също толкова важни. Вътрешните инциденти, включващи кражба на интелектуална собственост, са по-чести, отколкото повечето биха искали да признаят. Същото важи и за неоторизиран достъп или използване на информация или системи. Ето защо повечето екипи по ИТ сигурността сега разчитат в голяма степен на решенията за наблюдение на ИТ заплахи като основен начин да останат на върха на заплахите – както вътрешни, така и външни – пред които са изправени техните системи.
Съществуват различни опции за наблюдение на заплахите. Има специални решения за наблюдение на ИТ заплахи, но също така и пълен пакет инструменти за защита на данните, които включват възможности за наблюдение на заплахи. Няколко решения ще предложат възможности за наблюдение на заплахи и ще ги включат с базирани на политики контроли, които имат способността да автоматизират отговора на открити заплахи.
Без значение как една организация избере да се справи с наблюдението на ИТ заплахи, най-вероятно това е една от най-важните стъпки за защита срещу киберпрестъпници, особено когато се има предвид как заплахите стават все по-сложни и вредни.
Най-добрите системи за наблюдение на ИТ заплахи
Сега, когато всички сме на една и съща страница и имаме представа какво представлява наблюдението на ИТ заплахи, как работи и защо ни е необходимо, нека да разгледаме някои от най-добрите системи за наблюдение на ИТ заплахи, които могат да бъдат намерени. Нашият списък включва различни продукти, които са много различни. Но колкото и да са различни, всички те имат една обща цел, откриват заплахи и ви предупреждават за съществуването им. Това всъщност беше нашите минимални критерии за включване в нашия списък.
1. Монитор на заплахите на SolarWinds – издание на IT Ops (налична демонстрация)
SolarWinds е често срещано име за много мрежови и системни администратори. Той е известен с това, че прави един от най-добрите инструменти за наблюдение на SNMP, както и един от най-добрите NetFlow колектор и анализатор. Всъщност SolarWinds произвежда над тридесет различни продукта, покриващи няколко области на мрежово и системно администриране. И не спира дотук. Също така е добре известен с многото си безплатни инструменти, отговарящи на специфичните нужди на мрежовите администратори, като калкулатор на подмрежа или TFTP сървър.
Когато става въпрос за мониторинг на ИТ заплахи, компанията предлага Монитор на заплахите на SolarWinds – издание на IT Ops. Частта „IT Ops Edition“ в името на продукта е, за да го разграничи от изданието на инструмента за доставчик на управлявани услуги, малко по-различен софтуер, специално насочен към доставчици на управлявани услуги (MSP).
Този инструмент е различен от повечето други инструменти на SolarWinds по това, че е базиран на облак. Просто се абонирате за услугата, конфигурирате я и тя започва да наблюдава вашата среда за няколко различни типа заплахи. Всъщност, SolarWinds Threat Monitor – IT Ops Edition комбинира няколко инструмента. Той има централизиране и корелация на регистрационни файлове, информация за сигурността и управление на събития (SIEM), както и откриване на проникване в мрежа и хост (IDS). Това го прави много задълбочен пакет за наблюдение на заплахи.
В Монитор на заплахите на SolarWinds – издание на IT Ops винаги е актуален. Той постоянно получава актуализирана информация за заплахи от множество източници, включително бази данни за IP и репутация на домейн, което му позволява да наблюдава както известни, така и неизвестни заплахи. Инструментът разполага с автоматизирани интелигентни отговори за бързо отстраняване на инциденти със сигурността. Благодарение на тази функция постоянната необходимост от ръчна оценка и взаимодействие е значително намалена.
Продуктът също така разполага с много мощна система за предупреждение. Той е като многоусловни, кръстосано корелирани аларми, които работят в тандем с активния механизъм за реакция на инструмента, за да подпомогнат идентифицирането и обобщаването на важни събития. Системата за отчитане също е една от силните страни на продукта и може да се използва за демонстриране на съответствие с одита чрез използване на съществуващи предварително изградени шаблони за отчети. Като алтернатива можете да създавате персонализирани отчети, които отговарят на нуждите на вашия бизнес.
Цените за SolarWinds Threat Monitor – IT Ops Edition започват от $4 500 за до 25 възела с 10 дни индекс. Можете да се свържете със SolarWinds за подробна оферта, адаптирана към вашите специфични нужди. И ако предпочитате да видите продукта в действие, можете да поискате a безплатно демо от SolarWinds.
2. Идентифицирайте TC на ThreatConnect
Следващият в нашия списък е продукт, наречен от TreathConnect, наречен TC Идентифицира. Това е първият компонент от поредицата инструменти на ThreatConnect. Както подсказва името, този компонент е свързан с откриването на различни ИТ заплахи, което е точно това, което представляват системите за наблюдение на ИТ заплахи.
TC Identify предлага разузнаване за заплахи, съставено от повече от 100 емисии с отворен код, разузнаване от краудсорсинг от десетки общности и собствен изследователски екип на ThreatConnect. Освен това. Той ви дава възможност да добавите информация от всеки от партньорите на TC Exchange. Тази интелигентност с множество източници използва пълната мощност на модела на данни ThreatConnect. В допълнение, инструментът разполага с автоматизирани обогатения за стабилно и пълно изживяване. Интелигентността на платформата ThreatConnect вижда какво стои зад дейността и показва как тя е свързана с други събития. Това ви дава пълната картина, което ви позволява да вземете най-доброто решение как да реагирате.
ThreatConnect предлага серия от прогресивно обогатени с функции инструменти. Най-основният инструмент е TC идентификация, описана тук. Други инструменти включват TC Manage, TC Analyze и TC complete, като всеки добавя шепа функции към предишното ниво. Информацията за цените е достъпна само като се свържете с ThreatConnect.
3. Светлина за търсене на цифрови сенки
Digital Shadows е лидер на Forrester New Wave в защитата на цифровите рискове. Неговата SearchLight платформата наблюдава, управлява и коригира цифровия риск в широк спектър от източници на данни в отворената, дълбоката и тъмната мрежа. Той работи ефективно при защита на бизнеса и репутацията на вашата компания.
Digital Shadows Search Light може да се използва за защита срещу седем рискови категории. Първата защита е срещу кибер заплахи, които са планирани, насочени атаки срещу вашата организация. Инструментът също така предпазва от загуба на данни, като например изтичане на поверителни данни. Излагането на марката, когато фишинг сайт се представя за ваш, е друг риск, от който инструментът ви предпазва. Следващият риск, от който този продукт предпазва, е това, което Digital Shadow нарича риск от трети страни, при който вашите служители и доставчици могат несъзнателно да ви изложат на риск. Search Light може също да защити вашите VIP лица от сплашване или заплаха онлайн, точно както може да се използва за противодействие на физически заплахи и да ви предпази от злонамерени промени в инфраструктурата.
Инструментът използва широк спектър от автоматизирани и човешки методи за анализ, за да стесни откритите аномалии и да филтрира реални заплахи, като по този начин избягва бързите положителни резултати, доколкото е възможно. Закупуването на Search Light изисква първо да се регистрирате за безплатна демонстрация на продукта, след което може да бъде предоставена подробна информация за цените въз основа на вашите специфични нужди.
4. Платформа за разузнаване на заплахите CyberInt Argos
В Платформа за разузнаване на заплахите Argos от CyberInt е софтуер като услуга (SaaS), облачно-базирана система, която предоставя на организациите усъвършенствано решение за нововъзникващата тенденция на кибер заплахи, пред които обикновено се сблъскват организациите. Основните характеристики на платформата Argos са нейната целенасочена, високо автоматизирана управлявана технология за откриване и реагиране.
По-конкретно, решението предлага целенасочена и приложима информация, получена чрез обединяване на технологични и човешки ресурси. Това позволява на Argos да генерира в реално време инциденти на целенасочени атаки, изтичане на данни и откраднати идентификационни данни, които биха могли да компрометират вашата организация. Той използва силна база данни от 10 000 заплахи и инструменти за максимизиране на контекста. Той също така ще идентифицира участниците в заплахата в реално време и ще предостави контекстуални данни за тях.
Платформата има достъп до стотици различни източници като емисии, IRC, Darkweb, блогове, социални медии, форуми и сайтове за поставяне, за да събира целеви данни и да автоматизира доказан процес на разузнаване. Резултатите се анализират и дават полезни препоръки.
Информация за цените на CyberInt Argos Threat Intelligence Platform може да бъде получена, като се свържете с CyberInt. Доколкото успяхме да разберем, компанията изглежда не предлага безплатна пробна версия.
5. IntSights
Последното ни вписване е продукт, наречен IntSights, пълнофункционална платформа за разузнаване на заплахи. Той осигурява широк спектър от защита от заплахи срещу рискове като измами и фишинг. Той също така включва защита на марката и наблюдение на тъмната мрежа.
IntSights твърди, че е единствена по рода си платформа за разузнаване на заплахи и смекчаване на последиците, която задвижва проактивна защита, като превръща персонализираното разузнаване за заплахи в автоматизирано действие за сигурност. Конкретно, продуктът осигурява активно наблюдение и разузнаване на хиляди източници на заплахи в повърхността, дълбока и тъмна мрежа, предлагайки видимост в реално време на заплахите, насочени към вашата мрежа, марка, активи и хора.
Изследването и анализът на заплахите е друга от силните страни на IntSight, използвайки многопластова база данни за разследване на заплахи в дълбоката и тъмната мрежа, за да се идентифицират тенденциите, да се предостави контекстуално разузнаване и да се изследват участниците в заплахите. Системата може да се интегрира с вашата съществуваща инфраструктура за сигурност, както и с регистратори, търсачки, магазини за приложения и водещи имейл системи, за да позволи автоматично смекчаване на външни и вътрешни заплахи.
Подобно на много други продукти в нашия списък, информацията за цените за IntSight е достъпна само като се свържете с доставчика. И докато изглежда, че няма налична безплатна пробна версия, може да се организира безплатна демонстрация.