Простыми словами объясняем распространённые термины, обозначающие механизмы и решения для защиты различных сред: от управления правами доступа до межсетевых экранов. Материал поможет разобраться в технологиях безопасности и сделать их использование максимально эффективным.
CNAPP
Инструментарий CNAPP — один из самых горячих топиков в облачной индустрии. В прошлом году организация Cloud Security Alliance провела опрос среди тысячи двухсот ИТ-специалистов компаний, использующих облачную инфраструктуру. Три четверти респондентов отметили, что их организация применяет CNAPP для защиты мультиоблачной среды. В то же время, по прогнозам исследователей Markets and Markets, объём рынка CNAPP за пять лет вырастет с 7,8 млрд до 19,3 млрд долларов.Аббревиатура CNAPP расшифровывается как Cloud-Native Application Protection Platform. Это — платформа, которая объединяет средства защиты данных, контейнеров, виртуальных машин и микросервисов, а также предлагает инструментарий для DevOps-специалистов, упрощающий настройку пайплайнов и мониторинг потенциальных уязвимостей в компонентах инфраструктуры.
Термин ввели аналитики Gartner в 2021 году, параллельно отметив, что традиционные методы защиты локальных дата-центров не всегда подходят для облака. Если говорить о возможностях, CNAPP умеет сканировать контейнеры, базы данных и виртуальные машины, проверять код на наличие уязвимостей, а также оповещать ИБ-специалистов в компании о проблемах (и давать рекомендации по их устранению).
Если вы желаете подробнее погрузиться в тему, специалисты рекомендуют книгу «Cloud Native Application Protection Platforms» от издательства O’Reilly. Авторы на примерах показывают, как CNAPP помогает предотвращать угрозы и внедрять проактивные меры защиты облака. Еще одним источником может стать книга от Microsoft, выложенная в открытый доступ на английском. Специалисты разбирают компоненты CNAPP без привязки к вендору и обсуждают примеры реализации.
CIEM
Как правило, Cloud Infrastructure Entitlement Management (CIEM) является частью CNAPP. В задачи CIEM входит помощь с контролем доступа и минимизация привилегий для облачных пользователей, сервисов и API. По сути, CIEM анализирует поведение пользователей, чтобы оценить, какие права доступа им действительно необходимы, а без каких можно обойтись, повышая безопасность инфраструктуры.Так, согласно отчёту компании Tenable, предоставляющей услуги по кибербезопасности, до 80% сотрудников компаний имеют активные ключи доступа к облачной среде, которые не использовались в течение полугода или более. Такое положение вещей увеличивает потенциальную поверхность атаки на ИТ-инфраструктуру. В то же время 45% окружений содержат учетные данные третьих лиц, уже не связанных с организацией (например, уволенных сотрудников). Эти выводы подтверждают цифры другого исследования, проведённого специалистами Authomize. По их оценке, больше половины сотрудников компаний обладают излишне широкими полномочиями при работе с облачной инфраструктурой.
CIEM часто применяют в сочетании с другими наборами инструментов, такими как Cloud Security Posture Management (CSPM) и Security Information and Event Management (SIEM). В задачи первого входит поиск и устранение ошибок конфигурации и уязвимостей в облачной инфраструктуре. Второй помогает со сбором и анализом данных ИБ, собираемых из разных источников.
PAM
Согласно исследованию консалтинговой компании Forrester 2018 года, 80% утечек были связаны с компрометацией учетных данных с повышенными правами. В другом исследовании, проведённом компанией Centrify, 74% опрошенных руководителей ИТ-подразделений, чьи организации подвергались взлому в прошлом, сделали вывод, что инциденты произошли из-за злоупотребления привилегированным доступом.Для решения задач в этой нише существует Privileged Access Management (PAM) — ещё один инструмент для управления доступом. Но в отличие от CIEM его применяют в традиционных и гибридных инфраструктурах. PAM отвечает за мониторинг действий привилегированных пользователей и предотвращение злоупотребления правами администратора.
Ещё компании внедряют PAM, чтобы соответствовать требованиям регуляторов. Например, нормативы HIPAA и стандарт безопасности данных платёжных карт PCI DSS предписывают строгий контроль над привилегированным доступом, а использование специализированных PAM-решений облегчает эту задачу.
WAF
Web Application Firewall защищает от кибератак, связанных с уязвимостями на уровне приложений. Первые WAF появились на рынке в конце 1990 годов, когда атаки на веб-серверы становились более распространенными. Сегодня WAF позволяют анализировать и фильтровать HTTP-запросы, обеспечивают защиту от SQL-инъекций, DDoS-атак, XSS и других уязвимостей. Также с помощью WAF можно управлять правами доступа и контролировать выполнение политик безопасности веб-сервисов.И рынок WAF продолжает расти — в 2023 году его объём оценивался в 6,3 млрд долларов. Развитием платформы WAF становится WAAP (Web Application and API Protection). Компания Gartner в 2022 году впервые использовала этот термин. Основные функции WAAP включают предотвращение угроз, связанных с вредоносными ботами, смягчение последствий DDoS-атак и защиту API.
EDR
Впервые понятие Endpoint Detection and Response (EDR) ввел вице-президент Gartner Антон Чувакин в 2013 году, а сама технология разработана для мониторинга и реагирования на угрозы на пользовательских устройствах — ноутбуках, настольных ПК, смартфонах и планшетах. Решения EDR выполняют несколько функций. Во-первых, средства мониторинга анализируют активность пользователей и приложений. Во-вторых, алгоритмы на базе машинного обучения помогают выявлять аномалии.Также после обнаружения уязвимости системы EDR предоставляют информацию о характере атаки и генерируют оповещения для дальнейшего расследования инцидентов командами безопасности. Уведомления также могут запускать автоматические ответные действия для устранения угрозы — например, изолировать пораженные конечные точки или блокировать вредоносные процессы.
SOC
Термин Security Operation Center (SOC) можно перевести как Центр обеспечения информационной безопасности. Это — команда специалистов, которая отвечает за мониторинг, обнаружение и оперативное реагирование на угрозы в реальном времени. Кроме того, специалисты SOC помогают организациям подготавливать отчетность об инцидентах.Первые SOC появились в конце 1990-х годов, когда организации начали осознавать необходимость в наличии команд для управления ИБ-инцидентами. Согласно исследованию компании IBM, проведённому в этом году, в 75% случаев ущерб от взлома для организаций рос из-за расходов на ликвидацию последствий. В том числе поэтому для управления реагированием на угрозы организации внедряют SOC.
CTEM
Механизм Continuous Threat Exposure Management (CTEM) направлен на выявление и минимизацию рисков в инфраструктуре компании. Цель CTEM — устранить уязвимости до того, как ими смогут воспользоваться злоумышленники.Впервые термин был введён Gartner в 2022 году. Согласно парадигме CTEM, оценка рисков проходит в несколько этапов. Сначала анализируют уровень угроз, опираясь на ключевые показатели эффективности (KPI). Затем инструменты CTEM выявляют уязвимости и пробелы в защите. После этого проблемы ранжируют по важности, учитывая стратегию безопасности и влияние на бизнес. Следом оценивают вероятность атак на критически важные активы, а также проверяют, насколько быстро и эффективно можно устранить эти риски. Завершающий шаг — проверка корректности внедрения мер по снижению угроз. Такой подход помогает сосредоточиться на ключевых проблемах и минимизировать риски для бизнеса.
Согласно прогнозам Gartner, организации, инвестирующие в безопасность на основе CTEM, добьются сокращения числа взломов на две трети к 2026 году.