Интегрированы ли конечные устройства в вашу стратегию сетевой безопасности?

Многие ИТ-команды рассматривают конечные устройства отдельно от остальной сети. Защиту конечных точек часто реализуют как изолированное решение, обычно в виде антивируса или пакета безопасности конечных устройств. Собственно сетевая безопасность обычно начинается в месте соприкосновения конечного устройства с сетью.

Но с сетями, охватывающими многочисленные экосистемы, включая многооблачные инфраструктуры, растущее количество служб, базирующихся в облаке, и даже «теневые» ИТ (Shadow IT), такой демаркационный пункт становится всё труднее определить и обосновать. Предприятия больше не могут держать конечные устройства в безопасном «огороженном саду», который отделён от остальной сети.

Эти устройства также в растущей степени совмещают персональные и профессиональные профили. То есть, приватная деятельность может влиять на деловые организации. В частности, когда они запускают приложение или подключаются к сети, она оказывается открыта для всех вирусов и вредоносного ПО, попавших в данное устройство во внерабочее время. Согласно исследованиям, 63% организаций неспособны осуществлять мониторинг устройств, когда те покидают корпоративную сеть, и 53% сообщают, что число конечных устройств, инфицированных победоносными программами, возросло за последние 12 месяцев. К тому же, 56% этих опрошенных ИТ-профессионалов также отметили, что не могут определить для конечных устройств соответствие (нормам и политикам, прим. перев.), а 70% рапортуют о ниже, чем средних возможностях минимизации потерь от отказа конечного устройства.

Gartner прогнозирует, что 99% уязвимостей, используемых к концу 2020 г., по-прежнему будут теми, что были известны профессионалам ИТ и безопасности на время происшествия.

Конечные устройства представляют главный источник таких эксплойтов. Проблема заключается в том, что сетевая безопасность не может защитить конечные устройства или даже адекватно защититься от опасных конечных устройств, когда эти устройства и их уязвимости находятся за пределами корпоративного периметра.

Чтобы решить эту растущую проблему, организациям нужна эффективная стратегия безопасности конечных точек, которая связывает устройства на границе сети, включая конечных пользователей, хосты и IoT-устройства, в более крупный фреймворк сетевой безопасности. Сегодня:

Реальная безопасность конечных точек выходит далеко за рамки обычного антивирусного сервиса.  Она должна использовать современные технологии обнаружения, чтобы справляться с более сложными угрозами.
Также от неё требуется обеспечить полные, 24x7 видимость, соответствие и контроль, чтобы гарантировать, что эти и другие технологии внедрены надлежащим образом, как в, так и вне корпоративной сети, в идеале, не прибегая к сессиям VPN.
Самое важное, она должна быть способна интегрироваться в более широкий фреймворк безопасности с тем, чтобы иметь возможность обмениваться сведениями о продвинутых угрозах, а также, чтобы участвовать в качестве одного из элементов более масштабного, автоматизированного ответа на угрозу.

Труднее всего при выборе решения для безопасности конечных точек будет найти такое, которое действительно может быть интегрировано с остальной частью вашей инфраструктуры безопасности. Инструмент безопасности конечных точек, который взаимодействует с вашим пограничным брандмауэром, хорош, но поскольку доступ к сети во многих организациях стал повсеместным, многие точки доступа, особенно те, что находятся внутри периметра сети, а также облачные сервисы и теневые ИТ-приложения, не подключаются через брандмауэр.

В качестве первого шага на пути к созданию эффективной стратегии конечных точек следует начать с использования таких вещей, как Open API, общее управление, оркестровка и аналитические пакеты или, хотя бы централизованной системы SIEM для скрепления воедино ваших различных решений безопасности. Эта общая среда или фреймворк безопасности необходима для расширения видимости и контроля на самые отдалённые уголки вашей распределенной сети.

Следующим шагом будет определение фактического уровня имеющейся интеграции. То, что средство защиты конечной точки предоставляется как часть скомпонованного пакета, ещё не значит, что оно действительно интегрировано. И даже те, которые считаются интегрированными, часто предоставляют немногим  больше, чем самые базовые сервисы, такие как интеграция в общий инструмент управления, обеспечивающий  конфигурирование, регистрацию события или отчетность. Этого тоже недостаточно.

Реальная интеграция начинается со способности получать и распространять информацию об актуальных угрозах. Однако не менее важно умение действовать, получив эту информацию. Это включает в себя такие вещи, как способность подтвердить угрозу, немедленная установка флагов для мониторинга живой угрозы, обнаруженной в сети, и даже автоматическая настройка конфигураций и протоколов в ответ на эту угрозу.

В конечном итоге мы должны перестать рассматривать конечные устройства отдельно от остальной сети. Реальность заключается в том, что, как только устройство подключается к вашей сети, оно становится частью вашей LAN/WAN. Это значит, что вам следует иметь возможность:

Быстро идентифицировать любое устройство, которое подключается к вашей сети.
Автоматически оценивать его текущий уровень безопасности, чтобы определить, удовлетворяет ли он базовым стандартам.
Обеспечивать сетевой доступ на основе ролей, базирующийся на критериях, которые включают соответствие политике безопасности.
Непрерывно контролировать конечные устройства в сети и за её пределами, чтобы обнаруживать их инфицирование или взлом.
Автоматически организовывать карантин для взломанных или ограничение доступа для вызывающих подозрения устройств, чтобы начать их лечение.
Собирать и распространять информацию об угрозах в реальном времени, чтобы гарантировать адаптацию всех устройств к новейшему ландшафту угроз.
Активно участвовать в локальных и общесетевых защитных мерах противодействия, для ограничения распространения атак или взломов.

Ответственность за безопасность конечных устройств несут далеко не только ИТ-команды десктопов или конечных точек. Фактически, её понимание и использование требуются от каждого, кто отвечает за сетевую защиту организации. Эти группы нуждаются в лучших видимости, соответствии, контроле и отклике для всей распределённый сети, включая конечные точки сети и устройства вне её.