Advanced Threat Protection przewodnik dla kupujących POMOC W ULEPSZANIU ZABEZPIECZEŃ ORGANIZACJI

Transkrypt

1 Advanced Threat Protection przewodnik dla kupujących POMOC W ULEPSZANIU ZABEZPIECZEŃ ORGANIZACJI 1

2 Advanced Threat Protection przewodnik dla kupujących Spis treści WPROWADZENIE 3 ADVANCED THREAT PROTECTION 4 SZEROKI ZASIĘG 4 ODPOWIEDNIE POŁĄCZENIE FUNKCJI 7 DZIAŁANIE W RAMACH JEDNEGO, ZINTEGROWANEGO SYSTEMU 10 PODSUMOWANIE 12 DODATEK: LISTA KONTROLNA KUPUJĄCEGO ROZWIĄZANIE ADVANCED THREAT PROTECTION 14 2

3 Wprowadzenie Liczba i skutki przypadków naruszeń bezpieczeństwa danych w wyniku coraz bardziej wyrafinowanych ataków nieustannie się zwiększają. W wielu przypadkach takie ataki są specjalnie planowane i testowane pod kątem omijania tradycyjnych zabezpieczeń oraz konkretnych organizacji. W celu ochrony przed tymi zaawansowanymi zagrożeniami większość analityków bezpieczeństwa, ekspertów i dostawców poleca stosowanie połączenia ulepszonej prewencji, nowych, zaawansowanych systemów wykrywania zagrożeń oraz mechanizmów reagowania na incydenty. Chociaż na pierwszy rzut oka rozwiązania mogą wydawać się podobne, gdy przyjrzymy im się z bliska, zauważymy istotne różnice. Niniejszy przewodnik ma na celu pomóc w ocenie aktualnych i proponowanych zabezpieczeń pod kątem podstawowego zbioru wymagań oraz we wskazaniu właściwego zestawu rozwiązań dla konkretnej organizacji. 3

4 Advanced Threat Protection przewodnik dla kupujących Advanced Threat Protection Chociaż nowe technologie, jak środowisko sandbox sieci, przyjmuje się z dużym entuzjazmem, nie istnieje jeden produkt, który pozwoliłby stawić czoła zaawansowanym zagrożeniom. W raporcie Best Practices for Detecting and Mitigating Advanced Persistent Threats 1 firma Gartner twierdzi Osoby zajmujące się bezpieczeństwem informatycznym muszą stosować konkretne, strategiczne i taktyczne najlepsze praktyki do wykrywania zagrożeń typu ATP (ang. advanced persistent threat) i kierowanego złośliwego oprogramowania oraz ochrony przed nimi za pomocą zarówno istniejących, jak i nowych zabezpieczeń. SZEROKI ZASIĘG Środowiska dzisiejszych przedsiębiorstw dynamicznie się rozwijają, napędzane głównie przez mobilność, usługi w chmurze, szyfrowaną komunikację i inne funkcje. Zwiększa to ich złożoność, ponieważ wymaga zapewnienia odpowiedniego poziomu zabezpieczeń w celu ochrony użytkowników, systemów i danych. Podczas oceniania i zwiększania możliwości obrony przed dzisiejszymi zaawansowanymi zagrożeniami koniecznie trzeba wziąć pod uwagę lokalizację fizyczną, komunikację cyfrową oraz samą możliwość kontrolowania i ochrony danych. Firma Fortinet zgadza się z tym stwierdzeniem i zaleca: 1. Szeroki zasięg zabezpieczeń, obejmujący całą organizację oraz 2. Odpowiednie połączenie rozwiązań zapobiegających, wykrywających i chroniących, które 3. Działają jako jednolity system zabezpieczeń, a nie zbiór indywidualnych elementów. Uwzględnienie w infrastrukturze zabezpieczeń przedsiębiorstwa rozwiązań spełniających wszystkie te trzy warunki gwarantuje najsilniejszą ochronę. 4

5 Lokalizacje fizyczne Organizacje zazwyczaj zaczynają od logicznych punktów granicznych Internetu, które mogą być skonsolidowane w centrach danych lub coraz bardziej rozproszone między oddziały lokalne. Wszystkie one stanowią kluczowe punkty kontroli bezpieczeństwa. Poza tym, niezwykle ważna jest ocena ruchu związanego z wrażliwymi segmentami sieci w jej rdzeniu. Należy również uwzględnić kontrolę punktów końcowych, które mogą być narażone na zagrożenia spoza sieci, oraz aplikacji i danych przechowywanych w publicznych infrastrukturach chmury. Chociaż stosowanie tych samych kombinacji zabezpieczeń w każdym z tych miejsc może nie być łatwe, mniejszy zasięg ochrony zwiększa ryzyko powstania ślepych pól, które można wykorzystać. Komunikacja cyfrowa Analizowanie aktywności z pozycji fizycznej niekoniecznie gwarantuje skontrolowanie całego ruchu. Organizacje muszą określić metodę komunikacji z zastosowaną analizą bezpieczeństwa zazwyczaj odbywa się to za pomocą protokołu. Najpopularniejszymi punktami wyjścia są tu sieć WWW (http) i poczta (SMTP), które stanowią też najczęstsze drogi przeprowadzania ataków. W raporcie 2015 Data Breach Investigations Report 2 jako najczęściej wykorzystywany sposób uzyskiwania dostępu firma Verizon wskazała sieć WWW, a na drugim miejscu pocztę . Należy także pamiętać o konieczności kontrolowania przesyłania i przechowywania plików (przez FTP lub SMB). Nie wolno zapominać o protokołach szyfrowanych wykluczenie szyfrowanego ruchu może pozostawić cyberprzestępcom otwarte drzwi

6 Advanced Threat Protection przewodnik dla kupujących Wydajność i pojemność Jeśli zabezpieczenia nie zostaną właściwie wyskalowane, mogą zostać przytłoczone przez ilość pakietów i aktywności do przeanalizowania. Szczególnie w przypadku produktów wdrażanych bezpośrednio w produkcyjnym przebiegu pracy należy mieć pewność, że pojemność ich portów przyjmie wszystkie pakiety, wydajność oprogramowania dotrzyma im kroku, a produktywność pozwoli analizować gromadzone dane. Odrzucone pakiety czy zbyt długie kolejki ograniczają zasięg ochrony, nawet gdy zostały ustanowione i są obsługiwane fizyczne rozmieszczenie i komunikacja cyfrowa. Porada eksperta 1 W miarę rozwoju modelu ochrony organizacji naturalne jest wdrażanie nowych składników zabezpieczeń, często pochodzących od nowych dostawców. Wiele przedsiębiorstw na przykład zaczęło stosować narzędzia do zarządzania urządzeniami przenośnymi (ang. Mobile Device Management, MDM) od specjalizujących się w nich dostawców w celu zapewnienia obsługi mobilności i użytkowników korzystających z wielu urządzeń. Podobnie, w miarę jak przepływy pracy przenoszą się do infrastruktury w chmurze, wiele organizacji wdraża zabezpieczenia od nowych firm skupionych na tych elastycznych środowiskach. Niestety, takie podejście oparte na produktach punktowych nie zapewnia równego objęcia ochroną rozwijającego się środowiska korporacyjnego. Chociaż niektóre elementy zabezpieczeń (zapobieganie, wykrywanie lub ochrona) mogą być wdrożone w każdym miejscu, nie zawsze muszą stanowić najlepszy czy najpełniejszy zestaw gwarantujący najsilniejszą ochronę. 6

7 ODPOWIEDNIE POŁĄCZENIE FUNKCJI Do dziś większość inwestycji w zabezpieczenia przedsiębiorstw koncentruje się na rozwiązaniach zapobiegających atakom, podczas gdy mechanizmy ich wykrywania i łagodzenia ich skutków są dość rzadko wdrażane. Organizacje powinny jednak utrzymywać właściwą równowagę między poszczególnymi komponentami. Zgodnie z badaniem przeprowadzonym w listopadzie 2015 roku przez firmę Forrester w ciągu ostatnich 12 miesięcy 87% ankietowanych organizacji doświadczyło co najmniej jednego naruszenia bezpieczeństwa 3, co podkreśla wagę wykrywania i ochrony. Zapobieganie Skuteczne funkcje prewencyjne opierają się na wielu technologiach, które współdziałają ze sobą w celu ograniczenia powierzchni ataku i uniemożliwienia zagrożeniom przedostania się do sieci. Obejmują one stosowanie podpisów i analiz heurystycznych do blokowania złośliwego kodu (antymalware), kontrolę ruchu (ochronę przed włamaniami) i aplikacji, badanie reputacji pozwalające oceniać strony internetowe (kategoryzację i filtrowanie stron WWW) i nadawców wiadomości (reputację ), kontrolę adresów IP (wykrywanie botnetów) i nie tylko. Niezwykle ważne jest zapobieganie jak największej liczbie ataków, ponieważ pozwala to ograniczyć drogie i czasochłonne analizy oraz wysiłek wymagany do wykrywania zaawansowanych zagrożeń i ochrony przed nimi. Zaktualizowanie tradycyjnych produktów do zapobiegania zagrożeniom w celu zwiększenia skuteczności i proaktywności ochrony może znacznie poprawić możliwość obrony przed dzisiejszymi zaawansowanymi zagrożeniami. Dlatego należy rzetelnie ocenić istniejące zabezpieczenia sieci, Internetu, poczty i punktów końcowych, by przekonać się, w jakim stopniu są one skuteczne. Warto też dodać nowe mechanizmy prewencyjne, takie jak firewalle aplikacji webowych, jeśli nie są jeszcze stosowane. 87% organizacji doświadczyło w ciągu ostatnich 12 miesięcy co najmniej jednego naruszenia bezpieczeństwa 7

8 Advanced Threat Protection przewodnik dla kupujących Wykrywanie Dostępnych jest wiele nowych technologii pomagających identyfikować wcześniej nieznane zagrożenia, które omijają mechanizmy zapobiegające. Jedną z najpopularniejszych i najważniejszych jest środowisko sandbox sieci. Według przeprowadzonego przez firmę Forrester badania Sandbox Technology: Building an Effective Breach Detection and Response Strategy 4 87% doświadczonych profesjonalistów w dziedzinie zabezpieczeń oświadczyło, że środowiska sandbox zapewniają ważne informacje pozwalające wykrywać zaawansowane zagrożenia. Istnieje również wiele innych technik, których zastosowanie warto rozważyć od dynamicznego badania reputacji klienta, przez analizę działania sieci, po analizowanie dużych zbiorów danych i nie tylko. Chociaż organizacja może jeszcze nie być gotowa na przyjęcie niektórych z tych nowszych technologii, należy przyznać, że to, co miało znaczenie krytyczne wczoraj, wyprzedziło to, co było ważne dziś, po którym nastąpi coś innego w przyszłości. Tak właśnie ewoluuje środowisko zagrożeń. Ochrona Wykrywanie trwających ataków nie ma oczywiście zbyt dużej wartości, jeśli nie towarzyszy mu odpowiednia reakcja mająca na celu złagodzenie ich skutków i uniknięcie większej szkody. Organizacje muszą mieć pewność, że ich systemy wykrywania zapewniają odpowiednie informacje umożliwiające skuteczną reakcję. Podobnie zresztą mechanizmy obronne muszą dysponować właściwymi procesami i narzędziami gwarantującymi błyskawiczną ochronę. Należy przy tym uwzględnić narzędzia analityczne, usługi pomocnicze, a nawet integrację z istniejącymi produktami do zapobiegania zagrożeniom. Im bardziej zautomatyzowany lub wspomagany będzie proces reagowania, tym skuteczniej będzie można łagodzić skutki ataków. 87%profesjonalistów stwierdziło, że środowiska sandbox dostarczają informacji istotnych dla wykrywania zaawansowanych zagrożeń 8

9 Antyspam Wiadomość ze złośliwym kodem Sandbox Web Filtering System ochrony przed włamaniami Antywirus Strona internetowa ze złośliwym kodem Atak typu exploit Złośliwe oprogramowanie Kontrola aplikacji/ usługi reputacyjne Centrum zarządzania i kontroli Porada eksperta 2 Skuteczność najlepiej oceniać w drodze niezależnych testów porównawczych przeprowadzanych w warunkach rzeczywistych. Chociaż te środowiska nie są dokładną kopią środowiska klienta, zapewniają tę zaletę, że dostarczają duży zestaw próbek zaawansowanego złośliwego oprogramowania, które pozwala porównać produkty w jednakowej sytuacji. NSS Labs, Virus Bulletin i AV Comparatives to uznane ośrodki testowania, stosujące przejrzyste metodologie i rekurencyjne cykle testów porównawczych. W zależności od zakresu testów, jakie można przeprowadzić we własnym środowisku, zwrócenie się do któregoś z nich może być zalecane. Idealnie byłoby, gdyby można było przeprowadzić rygorystyczne testy porównawcze wielu rozwiązań na miejscu, a przynajmniej przetestować w ten sposób zabezpieczenia o znaczeniu krytycznym. Ważne jest jednak przynajmniej uzyskanie wiarygodnego obrazu skuteczności poszczególnych komponentów rozwiązania. 9

10 Advanced Threat Protection przewodnik dla kupujących DZIAŁANIE W RAMACH JEDNEGO, ZINTEGROWANEGO SYSTEMU Istotne jest nie tylko wdrożenie wszystkich komponentów we właściwych miejscach, lecz także zapewnienie ich współdziałania w ramach jednolitego systemu mającego na celu zwalczanie zaawansowanych zagrożeń. Bez takiego podejścia w zabezpieczeniach pozostanie zbyt dużo luk, które cyberprzestępcy będą mogli wykorzystać do przedostania się do sieci. Bez zintegrowanego systemu należałoby te luki likwidować ręcznie, co i tak nie zapobiegłoby ich powiększaniu się z czasem. Podczas oceniania infrastruktury zabezpieczeń jako całości trzeba szczególną uwagę zwrócić na punkty integracji, zautomatyzowane lub przynajmniej wspomagane czynności oraz wspólne centra informacyjne. 10 Punkty integracji Informacje można wymieniać na wiele sposobów. Po pierwsze, można je zgromadzić w lokalizacjach fizycznych. Przykładowo, raz skonfigurowanych ustawień firewalli można używać do ochrony głównej siedziby firmy, jej oddziałów, a nawet infrastruktury w chmurze. W podobny sposób można skonsolidować dzienniki w bezpiecznych bramach pocztowych i firewallach. Po drugie, informacje można udostępniać między elementami zabezpieczeń, na przykład produkty służące do zapobiegania atakom mogą przekazywać obiekty do przeanalizowania komponentom wykrywającym zaawansowane zagrożenia. Podobnie, produkty wykrywające mogą przekazywać informacje do systemów reagowania w celu natychmiastowego przystąpienia do łagodzenia skutków ataku. Po trzecie, można je przekazywać za pośrednictwem nowych standardowych interfejsów API i formatów umożliwiających ich szerokie udostępnianie. Przykładowo, interfejsy API JSON lub standardowe struktury danych STIXX/TAXII przyspieszają szerszą integrację. W najbliższej przyszłości należy dążyć do integracji elementów zabezpieczeń, aż standardy udostępniania informacji staną się normą. Automatyzacja Poza prostą wymianą informacji krytyczne znaczenie ma możliwość zautomatyzowania działań podejmowanych na ich podstawie (lub przynajmniej ich wspomagania, jeśli wymagany jest nadzór przez człowieka). Pomocna jest na przykład możliwość automatycznego generowania przez system wykrywania zaawansowanych zagrożeń aktualizacji informacji o zagrożeniach, które następnie są przekazywane do produktów zapobiegających w celu natychmiastowego zablokowania ataku. W podobny sposób możliwość udostępniania wskaźników włamania pomaga przyspieszyć reakcje administracyjne, jak odizolowanie

11 w systemach analizy ryzyka czy blokowanie niebezpiecznych adresów IP. Centrum informacyjne Wszystkie wcześniej wspomniane reakcje są oczywiście reakcjami taktycznymi. Warto także uwzględnić reakcje strategiczne, które pozwalają nieustannie ulepszać zabezpieczenia. Obejmują one opracowywanie i rozpowszechnianie na szeroką skalę proaktywnych informacji o zagrożeniach pozwalających im zapobiegać, opracowywanie nowych technologii zabezpieczeń rdzenia i wiele innych. Najlepiej gdy udostępnianie informacji odbywa się zarówno lokalnie, bezpośrednio między wdrożonymi komponentami, jak i globalnie, za pośrednictwem eksperckiego laboratorium zajmującego się badaniem zagrożeń. Przesyłanie/Wyniki Urządzenia sieciowe Sandbox Laboratoria badające zagrożenia Aktualizacje globalne Rozpowszechnianie informacji lokalnych Punkty końcowe Urządzenia kwarantanny/blokowanie ruchu Przesyłanie/Wyniki Porada eksperta 3 Podczas gdy możliwe jest zapewnienie integracji i udostępniania informacji między rozwiązaniami różnych dostawców, organizacje muszą pamiętać, że najściślejszą integrację, najwyższy poziom automatyzacji i najszybsze udostępnianie informacji można najpewniej osiągnąć w zestawach rozwiązań pochodzących od jednego producenta. Należy przy tym dodać, że sam fakt sprzedawania zestawu produktów przez jednego dostawcę nie gwarantuje możliwości ich integracji, automatyzacji ani udostępniania informacji. Szczególnie może się tak zdarzyć w przypadku dostawców, którzy rutynowo rozszerzają swoje oferty przez przejmowanie kolejnych firm, trzeba więc pamiętać o szczegółowym sprawdzeniu, czy ścisła integracja między poszczególnymi produktami jest obsługiwana. 11

12 Advanced Threat Protection przewodnik dla kupujących PODSUMOWANIE Zaawansowane zagrożenia różnią się pod względem wyrafinowania, ale wiele z nich omija tradycyjne zabezpieczenia, o czym świadczą powtarzające się informacje o naruszeniu bezpieczeństwa danych, raporty branżowe i zalecenia analityków. Organizacje, które chcą poprawić swoją ochronę przed tymi zagrożeniami, nie mogą ograniczać się do samego dodania najnowszej polecanej technologii zabezpieczeń, nawet jeśli pełni ona ważną funkcję. Firma Fortinet poleca zwłaszcza: üüzapewnienie szerokiego zasięgu ochrony obejmującego całą dynamiczną organizację (od urządzeń fizycznych do chmury), w tym optymalne połączenie rozwiązań zapobiegających, wykrywających i reagujących wdrożonych w każdym punkcie kontroli. üüprzeprowadzenie rygorystycznych, niezależnych testów w celu oceny skuteczności poszczególnych komponentów zabezpieczeń, by zapewnić obronę przed jak największą liczbą ataków oraz szybkie wykrywanie i reagowanie na wcześniej nieznane zagrożenia. üüprzechodzenie na jednolite rozwiązanie zabezpieczeń, które wykorzystuje integrację, automatyzację i wspólne centrum informacyjne (utrzymywane lokalnie i za pośrednictwem globalnych organizacji badawczych) do eliminowania luk w zabezpieczeniach, a przy tym jest dostępne dla średniej organizacji pod względem kosztów i wymaganego nakładu pracy. Szeroki zasięg Rygorystyczne testy Spójna obrona 12

13 Modele zabezpieczeń organizacji są na różnych etapach rozwoju. Absolutnie priorytetowe jest umożliwienie firmie przeprowadzania w środowisku sandbox analiz o udowodnionej skuteczności. Ma to znaczenie krytyczne dla ochrony najbardziej poufnych informacji przedsiębiorstwa i najlepiej, by było stosowane w jak najszerszym zakresie w organizacji. Następnie należy przygotować się do eliminowania ryzyka wykrywanego podczas analiz przeprowadzanych w tym środowisku za pomocą efektywnego procesu łagodzenia skutków ataku. Bezpieczna brama pocztowa z zintegrowanym środowiskiem sandbox umożliwia blokowanie nawet najnowszych, ukierunkowanych ataków , jej wdrożenie może więc zapewnić doskonałą pierwszą reakcję na atak. Może ona uzupełniać obecne zabezpieczenia poczty lub je zastąpić. W miarę jak pojawiają się nowe pomysły na przeorganizowanie zabezpieczeń sieci, aplikacji webowych i punktów końcowych, warto skupić się na ocenie produktów, które będą korzystały z początkowej inwestycji w środowisko sandbox, by rozszerzyć zasięg i postęp na skuteczniejszą reakcję i jednolity system. Chociaż początkowa inwestycja w środowisko sandbox może nie obejmować żadnych komponentów służących do zapobiegania zagrożeniom lub łagodzenia ich skutków, wziąwszy pod uwagę konieczność rozszerzania jego integracji z czasem, wybrane rozwiązanie powinno obsługiwać integrację z komponentami wysokiej jakości, które mogą okazać się potrzebne w przyszłości. Bez takiej możliwości organizacja będzie skazana na stosowanie mozaiki różnych produktów pełnej luk oraz wymagającej dużych nakładów pracy administracyjnej i w przypadku ataku. WPŁYW CZAS Przypadkowe wykrycie (średnio 229 dni, przed odpowiedzią) Tylko sandbox Wykrywanie i reakcja (dni) Sandbox + wykrywanie i reakcja w NGFW (minuty) Sandbox + zapobieganie w SEG/ EPP (0 sekund) 13

14 Advanced Threat Protection przewodnik dla kupujących Dodatek: Lista kontrolna kupującego rozwiązanie Advanced Threat Protection Poniższa lista kontrolna pomaga ocenić bieżące i proponowane zabezpieczenia z uwzględnieniem zasięgu w środowisku, połączenia technologii i możliwości integracji. W wyniku przedstawia podstawowy zestaw wymagań, które musi spełniać rozwiązanie właściwe dla danej organizacji. I. OCENA ZASIĘGU W ŚRODOWISKU c Określ lokalizacje fizyczne, które chcesz objąć zasięgiem zabezpieczeń, takie jak punkty wejścia i wyjścia sieci oraz jej punkty wewnętrzne, centralne systemy poczty i plików, mobilne punkty końcowe i przepływy pracy w chmurze. c Określ, które protokoły chcesz kontrolować w każdym z tych punktów (np. http, SMTP, SMB i inne, w tym wersje szyfrowane). c Oceń wymaganą przepustowość (np. porty 1 G, 10 G, 40 G lub 1 Gb/s, 4 Gb/s, 10 Gb/s lub więcej oraz liczbę obiektów na okres). c Oceń lub przejrzyj najnowsze niezależne testy porównawcze obejmujące środowisko sandbox i technologie pokrewne, by poznać skuteczność ich działania. Zapoznaj się z wynikami badań ośrodków NSS Labs, Virus Bulletin, AV Comparatives i ICSA Labs. Te kroki pomogą Ci odpowiednio określić rozmiar wymaganego wdrożenia i szybko rozpoznać sprzedawane w promocyjnej cenie produkty punktowe o ograniczonych funkcjach, które prowadzą do stosowania drogich i niezrównoważonych rozwiązań, jak również chwyty marketingowe dostawców, których celem jest ukrycie niewystarczającej skuteczności produktów. 14

15 II. OKREŚL POŁĄCZENIE TECHNOLOGII ZABEZPIECZAJĄCYCH c Poznaj techniki analizy używane do zapobiegania atakom w różnych lokalizacjach i protokołach oraz upewnij się, że stosujesz bardziej zaawansowane rozwiązania umożliwiające blokowanie jak największej liczby ataków (np. podpisy, analizę heurystyczną, badanie reputacji, emulację i szyfrowanie). c Dowiedz się, jakie techniki analizy są używane do wykrywania zaawansowanych zagrożeń w różnych lokalizacjach i protokołach między innymi środowisko sandbox, analiza behawioralna oraz analiza zbiorów Big Data. c Zidentyfikuj stosowane narzędzia i procesy przeznaczone do łagodzenia skutków ataków. Może to obejmować zespół ds. reagowania, usługi zewnętrzne, narzędzia analityczne i integrację oraz mechanizmy automatycznej reakcji działające między produktami. c Zidentyfikuj metody oceniania skuteczności systemu zapobiegania zagrożeniom, ich wykrywania i łagodzenia ich skutków (np. regularne testy penetracji, śledzenie skuteczności produkcyjnej, czas zakupu, zapytania ofertowe i raporty z niezależnych testów). Te kroki pomogą Ci skoncentrować i zrównoważyć inwestycję w celu osiągnięcia jak najlepszych wyników w każdym z tych trzech obszarów. Ważne jest, by nie przeoczyć sposobów zapobiegania bardziej zaawansowanym zagrożeniom, zanim konieczne będzie użycie czasochłonnych mechanizmów wykrywania i reagowania. Pominięcie wykrywania i oparcie swojej ochrony na samym zapobieganiu także nie jest polecane, co pokazało kilka ostatnich lat. Podobnie, inwestycje w systemy zapobiegania i wykrywania bez możliwości reagowania nie ograniczą efektywnie zagrożeń bezpieczeństwa. III. STOPIEŃ DZIAŁANIA NA POZIOMIE SYSTEMU c Określ systemy zapobiegania, które łączą elementy wykrywania (np. integracja firewalla w oddziale firmy, jej siedzibie głównej, rdzeniu sieci, chmurze; zabezpieczenia poczty i sieci WWW, ochrona punktów końcowych, firewall aplikacji webowych, narzędzia do zarządzania zdarzeniami i informacjami dotyczącymi zabezpieczeń, zarządzanie dziennikami itd.). c Określ, w jaki sposób mechanizmy wykrywania zaawansowanych zagrożeń dostarczają informacje potrzebne do reakcji (np. panele i raporty, eksportowanie danych za pomocą interfejsów API, ustanowiona integracja w celu przekazywania danych i podpisy automatyczne). c Wskaż, które reakcje automatyczne lub wspomagane mogą być realizowane przy użyciu komponentów na miejscu (np. urządzenia do kwarantanny, blokowanie źródeł lub usuwanie plików). c Określ, ile potrzebujesz centrów informacji, lokalnych giełd zagrożeń i/lub globalnych laboratoriów badawczych. Pomoże to określić, w jakim stopniu wszystkie stosowane przez Ciebie mechanizmy zapobiegania, wykrywania i ochrony jakkolwiek dobre w ujęciu jednostkowym działają skutecznie w ramach jednolitego rozwiązania. 15

16 Advanced Threat Protection przewodnik dla kupujących Ocena siły rozwiązania Advanced Threat Protection Aby ocenić ogólną siłę ochrony organizacji przed dzisiejszymi zaawansowanymi zagrożeniami, określ liczbę stosowanych technologii zapobiegania, środków wykrywania zaawansowanych zagrożeń, które mogą się przedostać, i ochrony przed nimi oraz punktów integracji między wszystkimi tymi obszarami. Szeroki zakres systemów zapobiegania z niewielką liczbą zaawansowanych mechanizmów wykrywania lub ochrony pozostawia organizację szczególnie narażoną na ataki. Nawet stosowanie wielu osobnych systemów nie zapobiega pozostawianiu luk w zabezpieczeniach. Określ swoją obecną sytuację i podejmij przemyślaną decyzję przejścia na zintegrowany system łączący mechanizmy zapobiegania, wykrywania i ochrony. MECHANIZMY ZAPOBIEGANIA c Firewall w oddziale firmy c Firewall w siedzibie głównej firmy c Firewall w rdzeniu c Firewall w chmurze c Bezpieczna brama pocztowa c Secure Web Gateway c Web Application Firewall c Ochrona punktów końcowych c Inne MECHANIZMY WYKRYWANIA c Zachowanie sieci c Analiza sieci c Zachowanie punktów końcowych c Środowisko sandbox c Big Data c Inne MECHANIZMY REAGOWANIA c Usługi reakcji c Analiza punktów końcowych c Automatyzacja PUNKTY INTEGRACJI c Firewall i wykrywanie zaawansowanych zagrożeń c Bezpieczna brama pocztowa i wykrywanie zaawansowanych zagrożeń c Secure Web Gateway i wykrywanie zaawansowanych zagrożeń c Web Application Firewall i wykrywanie zaawansowanych zagrożeń c Ochrona punktów końcowych i wykrywanie zaawansowanych zagrożeń 16

17 # Liczba of Prevention mechanizmów Components zapobiegania Limited: Ograniczona: Prevention tylko Only prewencja Średnia: Moderate: ograniczona Limited and i Independent niezależna Strong: Silna: wydajna Robust i jednolita and Cohesive Degree Stopień of działania System Operation systemu # Liczba of Detection mechanizmów Components wykrywania # Liczba of Response mechanizmów Components reagowania

18 Copyright 2016 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi spółki Fortinet, Inc. Pozostałe nazwy związane z Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi Fortinet. Wszelkie inne nazwy produktów lub spółek mogą być znakami towarowymi ich odpowiednich właścicieli. v