Trend Micro – захищений доступ до IT-ресурсів

В нинішні часи мало перевірити на вході – треба стежити за поведінкою користувача всередині.

Організації в усьому світі стикаються з безпрецедентними труднощами у захисті своїх активів від кібератак. Традиційний периметр давно не працює, він почав зникати з появою BYOD і SaaS застосунків, а пандемія і війна призвели до того, що багато співробітників нині працюють віддалено. В цих умовах саме користувач стає слабкою ланкою кіберзахисту, оскільки наражає на небезпеку не лише себе, але й усю корпоративну мережу. А користувач мо же легко стати жертвою, наприклад, атаки через ланцюжок постачання, просто автоматично скачавши оновлення програми з вірусом всередині.

Зазвичай доступ до корпоративних ресурсів відбувається таким чином: користувач вмикає VPN і вводить свої облікові дані. Перевірка цих даних, стану оновлення операційної системи та антиві русного захисту проводиться один раз на етапі підключення. На жаль, після цього в систему ціл ком може потрапити зловмисник, використовуючи викрадений сесійний ключ або токен. Відтак робитиме всередині що заманеться під виглядом легітимного користувача або й адміністратора, а інструменти кіберзахисту йому це дозволятимуть, не бачачи підстав не довіряти обліковому запису. Згідно зі звітом Verizon Data Breach Investigation Report 2024, у 77% випадків хакери отримують доступ в систему за допомогою так чи інакше викрадених облікових даних, і на цей же спосіб припадає 31% крадіжок інформації.

Запобігти цій небезпеці допоможуть два підходи. По-перше, запровадження дозволів для кожної дії в мережі, що втілено в концепції Zero Trust. Подруге, постійний контроль як за самими акаунтами, так і за їхньою активністю впродовж всієї сесії. Усе це нетривіальні завдання. На щастя, Trend Micro має готове рішення на базі своєї XDR платформи Vision One.

Довіряй, але не пускай

Мережевий доступ з нульовою довірою (ZTNA) є складовою Vision One. Ця технологія, яка мо же працювати як на базі агентів, так і без них, уможливлює безпечний доступ на базі автентифікації і лише на певний час. Фактично вона замінює VPN таким собі шлюзом, який відкриває доступ лише до конкретних програм та ресурсів. Якщо облікові дані вкрадуть, обмежений рівень доступу зменшить наслідки можливої атаки. Як висловився віцепрезидент Trend Micro з ринкової стратегії Ерік Скіннер: «Організації мають «вроджену довіру» до своєї архітектури, і Zero Trust не дозволяє хакерам скористатись цією довірою».

Окрім того, у Vision One є функція постійного оцінювання ризиків за допомогою інструмента Operations Dashboard, який збирає телеметрію з інших інструментів Trend Micro та агентів на пристроях користувачів. Дані про ризики періодично або спорадично використовуються для перевірки з’єднань між користувачами, і якщо рівень ризику перевищує встановлену норму, з’єднання блоку ється. Після того, як ризик повертається до при йнятного рівня, з’єднання поновлюється.

Наступним кроком у еволюції платформи Trend Vision One є рішення Identity Security. Воно поєднує в собі два інструменти: систему управління станом захисту облікових записів (Identity Security Posture Management — ISPM) і систему виявлення і усунення загроз, пов’язаних з обліковими записами (Identity Threat Detection and Response — ITDR). Відповідно рішення забезпечує моніторинг акаунтів загалом і постійне відстеження підключених користувачів та їхньої активності.

ISPM є системою проактивної (випереджальної) дії, яка завчасно виявляє ризики, як-от: наявність облікових записів без мультифакторної автентифікації і полишених акаунтів, недостатня парольна гігієна, надмірні привілеї, одночасний вхід з різних місць. Усе це забезпечує видимість облікових записів з контекстом, даючи змогу створити детальні профайли цих акаунтів і пріоретизувати ризики з урахуванням критичності акаунта, ймовірності атаки і можливих наслідків.

У свою чергу, ITDR забезпечує видимість дій користувачів, а також відстеження історії цих дій для цілей розслідування або пошуку загроз. Відбувається кореляція безпекових подій з обліковими записами, поштовими адресами, кінцевими точками, файлами, командами і процесами, що дає змогу візуалізувати весь ланцюжок атаки. Ця комплексна картина в поєднанні з рекомендаціями від віртуального помічника на основі штучного інтелекту (Companion AI) прискорює реагування на події з урахуванням всієї релевантної інформації.

Завдяки цій синергії Trend Vision One – Identity Security дає змогу бачити активність користувачів як в локальній мережі, так і у хмарі, виявляти і зупиняти неавторизовані дії, блокувати комплексні загрози і загалом надавати працівникам безпечний доступ з будь-якої точки світу на основі політик автентифікації.

Автор: Роман Чорненький, керівник напрямку кібербезпеки компанії ELKO Ukraine

З приводу консультації щодо рішень Trend Micro звертайтесь до менеджерів офіційного дистриб’ютора ELKO Ukraine.