Необхідність використання мультивендорного підходу під час вибору рішень захисту

Майстер-клас: секрети випікання найсмачніших млинців!

23.07.2024

Інцидент з CrowdStrike вже вважається найбільшим IT-збоєм в історії, що зачепив роботу понад 8,5 млн комп’ютерів з ОС Windows. Ця вразливість зумовила появу «синього екрана смерті» (BSOD), що вплинуло на діяльність багатьох організацій, зокрема спричинило зупинку роботи банків, бірж, ресторанів, галузі авіаперевезень та інших сфер. Хоча цей збій не є наслідком кібератаки чи зламу, проте він призвів до трильйонів доларів збитків, і ще раз довів важливість управління ризиками ланцюга постачання послуг. Тож, у цій статті ми докладніше розглянемо важливість мультивендорного підходу у виборі рішень захисту організації, практичні кроки для його впровадження та сфери охоплення цього підходу.

Що таке мультивендорний підхід?

Один з ключових аспектів ефективного захисту кінцевих точок — це використання мультивендорного підходу до вибору рішень, особливо до рішень класу Endpoint Detection and Response (EDR). Мультивендорний підхід передбачає використання кількох різних постачальників для забезпечення кібербезпеки. Це означає інтеграцію рішень від різних виробників у межах однієї інфраструктури. 
Такий підхід дає змогу організаціям підвищити рівень захисту, використовуючи сильні сторони кожного з рішень. Наприклад, якщо одне рішення ефективніше виявляє певні загрози, інше може краще захищати від інших типів атак. Це також знижує ризик залежності від одного постачальника, що може бути критичним у випадку збоїв чи вразливостей, як у випадку з CrowdStike.

Основні переваги мультивендорного підходу:

1. Різноманітність захисту: Одне рішення EDR може бути ефективним для певних типів загроз, але не виявляти інші. Використання кількох різних рішень дозволяє покращити виявлення та блокування атак, оскільки різні системи можуть мати різні методи і алгоритми аналізу загроз.
2. Стабільність та оновлення: Одне рішення може нестабільно працювати або неправильно оновлюватися. Використання декількох рішень від різних виробників допомагає уникнути залежності від одного постачальника і забезпечує безперебійний захист навіть у випадку проблем з оновленням одного з рішень.
3. Захист від ризиків постачальника: Проблеми з одним виробником можуть негативно вплинути на весь захист організації. Мультивендорний підхід дозволяє розподілити ризики та знизити залежність від одного постачальника, що забезпечує більш надійний і стійкий захист.
Варто зазначити, що мультивендорний підхід має бути реалізований не тільки в сфері EDR, але й у всіх доменах інформаційної безпеки. Це стосується таких рішень, як антивірусне програмне забезпечення, міжмережеві екрани, системи контролю доступу, а також інших критично важливих компонентів захисту.

Практичні кроки для впровадження мультивендорного підходу:

1. Аналіз потреб та вимог. Визначення критичних та некритичних бізнес-активів, формування вимог та функціональних модулів для кожної групи активів.Проведення Proof of Concept (PoC). Проведення аналізу та PoC для оцінки економічної обґрунтованості та ефективності різних рішень.
2. Інтеграція рішень. Інтеграція вибраних рішень з чинними системами SIEM та іншими сторонніми системами для забезпечення комплексного захисту.

Приклад застосування мультивендорного підходу до захисту організації

Розглянемо реальний приклад впровадження мультивендорного підходу для захисту великої фінансової установи, яка має розгалужену мережу з тисячами кінцевих точок. Організація прийняла рішення розподілити кінцеві точки на дві основні групи: критичні бізнес-активи та некритичні активи.

Критичні бізнес-активи

До цієї групи віднесені сервери, бази даних та інші ресурси, що містять конфіденційну фінансову інформацію та персональні дані клієнтів. Для захисту цієї групи обрали рішення від виробника «А», яке відоме своєю високою ефективністю у виявленні та блокуванні складних загроз. Це рішення надає можливість ручного реагування, завдяки чому кваліфіковані аналітики можуть ефективніше нівелювати атаки, що додає додатковий рівень захисту для критичних активів. Крім того, це рішення має специфічні функції та сертифікацію локальних регуляторів.

Некритичні активи

Ця група включає робочі станції співробітників, які не мають доступу до конфіденційної інформації та виконують типові прості завдання. Для захисту цих кінцевих точок було обрано рішення від виробника «Б», що захищає пристрої від найбільш поширених загроз. Це рішення простіше в налаштуванні та ефективніше у виявленні та нейтралізації поширених загроз, що є важливим для захисту некритичних активів. Воно розраховане на персональні комп'ютери, є більш економічно вигідним та потребує менше ресурсів. Крім того, воно включає механізмами автоматичного реагування, тож відповідь на загрози відбувається швидше без необхідності ручного втручання.

Висновки

Інцидент з CrowdStrike показав критичну важливість мультивендорного підходу до захисту організацій. Використання рішень від кількох постачальників дозволяє мінімізувати ризики, пов'язані з можливими вразливостями або збоєм одного продукту, і забезпечити більш стійкий та надійний захист.
Мультивендорний підхід надає переваги у вигляді різноманітності захисту, підвищеної стабільності та зниження залежності від одного постачальника. Практична реалізація цього підходу включає аналіз потреб, проведення Proof of Concept та інтеграцію рішень.

Компанія IT Specialist є партнером провідних виробників рішень інформаційної безпеки, таких як Check Point, Cisco, FortiNet, SentinelOne, Symantec, IBM та інших. Звертайтеся до нас, і наші фахівці підберуть найкращу комбінацію рішень для забезпечення надійного захисту ваших бізнес-активів.