«Вы не можете в равной степени защитить всё…мы должны найти способ, чтобы контролировать только то, что имеет значение». С этими словами Эрл Перкинс, Вице-президент Gartner по исследованиям, обрушился на основные вызовы безопасности, с которыми в наши дни сталкиваются предприятия и государственные органы. Проблема заключается в том, что если вы пытаетесь полностью и в равной мере обезопасить все точки входа в вашу сеть, то в итоге вы «размазываете тонким слоем» все ваши ресурсы безопасности. Вы должны принять для себя тот факт, что невозможно одновременно заблокировать все точки входа: кибер-преступники все равно найдут лазейку, через которую они смогут проникнуть в системы предприятий.

С учетом этого, по словам Перкинса, для предприятий настало время изменить свое мышление, «взять те деньги, что вы тратите на предотвращение атак, и начать тратить их на обнаружение и реагирование на атаки, что более справедливо. Правда заключается в том, что вы не сможете остановить каждую угрозу, но вам необходимо обуздать их».

Задержать, отреагировать и восстановить

Как считает Gartner, в оставшейся части 2017 года и в будущем 2018 году будет наблюдаться более равномерное распределение бюджетов между инструментами предотвращения и решениями, которые предоставляют средства обнаружения, реагирования и восстановления. В частности, компании будут инвестировать все больше средств в решения класса Endpoint Detection and Response (EDR), которые дополняют уже существующие решения класса EPP (Endpoint Protection Platform, решения для защиты конечных устройств – традиционные антивирусы) и устраняют пробелы в возможностях последних при борьбе с неизвестными угрозами.

Рынок решений EDR-класса начал стремительно расти с 2016 года, когда доходы производителей удвоились по сравнению с 2015 годом с 238 до более 500 миллионов долларов США. Gartner ожидает ежегодный рост на 45% к 2020 году, что намного выше роста рынка информационной безопасности в целом в течение данного периода времени (7%).

Эти цифры говорят сами за себя. Они укрепляют мысль о том, что борьба против кибер-преступлений требует решений, которые позволяют получить полную видимость всех конечных устройств и собирать требуемые данные для обнаружения и анализа сложных атак, а также на осуществление мер по реагированию на них. Для этого ИТ-специалисты будут искать решения, которые интегрируют в себе такие функции как автоматические оповещения, содержащие списки угроз в соответствии с их приоритетностью для дальнейшего анализа специалистами по ИБ, в сочетании с автоматическими мерами защиты, которые мгновенно срабатывают при обнаружении атаки. Другая ключевая функция качественного EDR-решения – это наличие экспертной информации с возможностью видеть все действия хакера внутри сети для последующего анализа. Это, в свою очередь, позволит вам обнаружить ПО с известными уязвимостями, которое установлено в вашей корпоративной сети.

После внедрения эффективных EDR-решений, как ожидает Gartner, следующая цель будет заключаться во внедрении инструментов прогноза, которые будут предупреждать ИТ-специалистов о появлении возможных необычных моделей поведения. Благодаря таким инструментам прогнозирования, специалисты по безопасности будут иметь возможности для обнаружения угроз, которые обычно остаются незамеченными со стороны традиционных решений безопасности. В этом смысле сочетание Больших данных с искусственным интеллектом поможет анализировать и классифицировать огромные объемы данных для того, чтобы можно идентифицировать основные факторы риска прежде, чем этими уязвимостями смогут воспользоваться хакеры.

С применением этих технологий предприятия будут работать в непрерывном режиме реагирования на любые возможные инциденты безопасности, будь то традиционная угроза, уязвимое приложение или усовершенствованная хакерская атака. И такое состояние будет достигнуто только за счет совместного внедрения решений для предотвращения угроз (традиционная защита, файервол, защита данных в виде шифрования файлов и пр.) и решений для обнаружения и реагирования на атаки (threat intelligence, экспертная информация, корреляция данных об угрозах и пр.).

Adaptive Defense 360: идеальное сочетание EPP- и EDR-технологий

На рынке, который ориентирован на установление баланса между инвестициями в EPP и EDR, Adaptive Defense 360 ​​расположен достаточно оптимально. Это первый сервис информационной безопасности, который сочетает в себе технологии расширенной защиты и возможности обнаружения и реакции на атаки с возможностью классификации 100% процессов, запущенных в корпоративной сети. Данное решение использует контекстный интеллект для выявления моделей вредоносного поведения за счет сопоставления всей полученной информации (свыше 1ТБ каждый день!). Adaptive Defense 360 сочетает контекстный анализ с действиями по кибер-защите для предотвращения угроз и целостности данных, защищая свыше 160 000 компаний во всем мире.