Современные облачные сервисы и другие области ИТ включают большое количество специализированных терминов и аббревиатур, связанных с информационной безопасностью. Чтобы упростить понимание этих понятий, мы подготовили компактный словарь для менеджеров и начинающих специалистов.

Простыми словами объясняем распространённые термины, обозначающие механизмы и решения для защиты различных сред: от управления правами доступа до межсетевых экранов. Материал поможет разобраться в технологиях безопасности и сделать их использование максимально эффективным.

CNAPP

Инструментарий CNAPP — один из самых горячих топиков в облачной индустрии. В прошлом году организация Cloud Security Alliance провела опрос среди тысячи двухсот ИТ-специалистов компаний, использующих облачную инфраструктуру. Три четверти респондентов отметили, что их организация применяет CNAPP для защиты мультиоблачной среды. В то же время, по прогнозам исследователей Markets and Markets, объём рынка CNAPP за пять лет вырастет с 7,8 млрд до 19,3 млрд долларов.

Аббревиатура CNAPP расшифровывается как Cloud-Native Application Protection Platform. Это — платформа, которая объединяет средства защиты данных, контейнеров, виртуальных машин и микросервисов, а также предлагает инструментарий для DevOps-специалистов, упрощающий настройку пайплайнов и мониторинг потенциальных уязвимостей в компонентах инфраструктуры.

Термин ввели аналитики Gartner в 2021 году, параллельно отметив, что традиционные методы защиты локальных дата-центров не всегда подходят для облака. Если говорить о возможностях, CNAPP умеет сканировать контейнеры, базы данных и виртуальные машины, проверять код на наличие уязвимостей, а также оповещать ИБ-специалистов в компании о проблемах (и давать рекомендации по их устранению).

Если вы желаете подробнее погрузиться в тему, специалисты рекомендуют книгу «Cloud Native Application Protection Platforms» от издательства O’Reilly. Авторы на примерах показывают, как CNAPP помогает предотвращать угрозы и внедрять проактивные меры защиты облака. Еще одним источником может стать книга от Microsoft, выложенная в открытый доступ на английском. Специалисты разбирают компоненты CNAPP без привязки к вендору и обсуждают примеры реализации.

CIEM

Как правило, Cloud Infrastructure Entitlement Management (CIEM) является частью CNAPP. В задачи CIEM входит помощь с контролем доступа и минимизация привилегий для облачных пользователей, сервисов и API. По сути, CIEM анализирует поведение пользователей, чтобы оценить, какие права доступа им действительно необходимы, а без каких можно обойтись, повышая безопасность инфраструктуры.

Так, согласно отчёту компании Tenable, предоставляющей услуги по кибербезопасности, до 80% сотрудников компаний имеют активные ключи доступа к облачной среде, которые не использовались в течение полугода или более. Такое положение вещей увеличивает потенциальную поверхность атаки на ИТ-инфраструктуру. В то же время 45% окружений содержат учетные данные третьих лиц, уже не связанных с организацией (например, уволенных сотрудников). Эти выводы подтверждают цифры другого исследования, проведённого специалистами Authomize. По их оценке, больше половины сотрудников компаний обладают излишне широкими полномочиями при работе с облачной инфраструктурой.

CIEM часто применяют в сочетании с другими наборами инструментов, такими как Cloud Security Posture Management (CSPM) и Security Information and Event Management (SIEM). В задачи первого входит поиск и устранение ошибок конфигурации и уязвимостей в облачной инфраструктуре. Второй помогает со сбором и анализом данных ИБ, собираемых из разных источников.

PAM

Согласно исследованию консалтинговой компании Forrester 2018 года, 80% утечек были связаны с компрометацией учетных данных с повышенными правами. В другом исследовании, проведённом компанией Centrify, 74% опрошенных руководителей ИТ-подразделений, чьи организации подвергались взлому в прошлом, сделали вывод, что инциденты произошли из-за злоупотребления привилегированным доступом.

Для решения задач в этой нише существует Privileged Access Management (PAM) — ещё один инструмент для управления доступом. Но в отличие от CIEM его применяют в традиционных и гибридных инфраструктурах. PAM отвечает за мониторинг действий привилегированных пользователей и предотвращение злоупотребления правами администратора.

Ещё компании внедряют PAM, чтобы соответствовать требованиям регуляторов. Например, нормативы HIPAA и стандарт безопасности данных платёжных карт PCI DSS предписывают строгий контроль над привилегированным доступом, а использование специализированных PAM-решений облегчает эту задачу.

WAF

Web Application Firewall защищает от кибератак, связанных с уязвимостями на уровне приложений. Первые WAF появились на рынке в конце 1990 годов, когда атаки на веб-серверы становились более распространенными. Сегодня WAF позволяют анализировать и фильтровать HTTP-запросы, обеспечивают защиту от SQL-инъекций, DDoS-атак, XSS и других уязвимостей. Также с помощью WAF можно управлять правами доступа и контролировать выполнение политик безопасности веб-сервисов.

И рынок WAF продолжает расти — в 2023 году его объём оценивался в 6,3 млрд долларов. Развитием платформы WAF становится WAAP (Web Application and API Protection). Компания Gartner в 2022 году впервые использовала этот термин. Основные функции WAAP включают предотвращение угроз, связанных с вредоносными ботами, смягчение последствий DDoS-атак и защиту API.

EDR

Впервые понятие Endpoint Detection and Response (EDR) ввел вице-президент Gartner Антон Чувакин в 2013 году, а сама технология разработана для мониторинга и реагирования на угрозы на пользовательских устройствах — ноутбуках, настольных ПК, смартфонах и планшетах. Решения EDR выполняют несколько функций. Во-первых, средства мониторинга анализируют активность пользователей и приложений. Во-вторых, алгоритмы на базе машинного обучения помогают выявлять аномалии.

Также после обнаружения уязвимости системы EDR предоставляют информацию о характере атаки и генерируют оповещения для дальнейшего расследования инцидентов командами безопасности. Уведомления также могут запускать автоматические ответные действия для устранения угрозы — например, изолировать пораженные конечные точки или блокировать вредоносные процессы.

SOC

Термин Security Operation Center (SOC) можно перевести как Центр обеспечения информационной безопасности. Это — команда специалистов, которая отвечает за мониторинг, обнаружение и оперативное реагирование на угрозы в реальном времени. Кроме того, специалисты SOC помогают организациям подготавливать отчетность об инцидентах.

Первые SOC появились в конце 1990-х годов, когда организации начали осознавать необходимость в наличии команд для управления ИБ-инцидентами. Согласно исследованию компании IBM, проведённому в этом году, в 75% случаев ущерб от взлома для организаций рос из-за расходов на ликвидацию последствий. В том числе поэтому для управления реагированием на угрозы организации внедряют SOC.

CTEM

Механизм Continuous Threat Exposure Management (CTEM) направлен на выявление и минимизацию рисков в инфраструктуре компании. Цель CTEM — устранить уязвимости до того, как ими смогут воспользоваться злоумышленники.

Впервые термин был введён Gartner в 2022 году. Согласно парадигме CTEM, оценка рисков проходит в несколько этапов. Сначала анализируют уровень угроз, опираясь на ключевые показатели эффективности (KPI). Затем инструменты CTEM выявляют уязвимости и пробелы в защите. После этого проблемы ранжируют по важности, учитывая стратегию безопасности и влияние на бизнес. Следом оценивают вероятность атак на критически важные активы, а также проверяют, насколько быстро и эффективно можно устранить эти риски. Завершающий шаг — проверка корректности внедрения мер по снижению угроз. Такой подход помогает сосредоточиться на ключевых проблемах и минимизировать риски для бизнеса.

Согласно прогнозам Gartner, организации, инвестирующие в безопасность на основе CTEM, добьются сокращения числа взломов на две трети к 2026 году.

Защищённое облако

В первую очередь речь идёт о готовой инфраструктуре, полностью соответствующей требованиям закона ФЗ-152 «О персональных данных». Изолированный аттестованный сегмент предназначен для размещения информационных систем персональных данных (ИСПДн) и государственных информационных систем (ГИС), безопасного хранения и обработки персональных данных.

Облачный провайдер полностью контролирует защищённость оборудования и подписывает с клиентом соглашение об уровне сервиса (SLA). Сервис не требует капитальных затрат со стороны клиента — не нужно покупать оборудование и средства информационной безопасности. Такую виртуальную инфраструктура с аттестованным сегментом 152-ФЗ предоставляет и MWS — есть тест-драйв решения.