{"global":{"lastError":{},"locale":"ru","locales":{"data":[{"id":"de","name":"Deutsch"},{"id":"en","name":"English"},{"id":"ru","name":"Русский"}],"loading":false,"error":false},"currency":{"id":49,"name":"EUR"},"currencies":{"data":[{"id":49,"name":"EUR"},{"id":124,"name":"RUB"},{"id":153,"name":"UAH"},{"id":155,"name":"USD"}],"loading":false,"error":false},"translations":{"company":{"role-vendor":{"ru":"Производитель","_type":"localeString","en":"Vendor"},"role-supplier":{"en":"Supplier","ru":"Поставщик","_type":"localeString"},"products-popover":{"ru":"Продукты","_type":"localeString","en":"Products","de":"die produkte"},"introduction-popover":{"en":"introduction","ru":"внедрения","_type":"localeString"},"partners-popover":{"ru":"партнеры","_type":"localeString","en":"partners"},"update-profile-button":{"_type":"localeString","en":"Update profile","ru":"Обновить профиль"},"read-more-button":{"_type":"localeString","en":"Show more","ru":"Показать ещё"},"hide-button":{"ru":"Скрыть","_type":"localeString","en":"Hide"},"user-implementations":{"ru":"Внедрения","_type":"localeString","en":"Deployments"},"categories":{"ru":"Компетенции","_type":"localeString","en":"Categories"},"description":{"ru":"Описание","_type":"localeString","en":"Description"},"role-user":{"ru":"Пользователь","_type":"localeString","en":"User"},"partnership-vendors":{"_type":"localeString","en":"Partnership with vendors","ru":"Партнерство с производителями"},"partnership-suppliers":{"ru":"Партнерство с поставщиками","_type":"localeString","en":"Partnership with suppliers"},"reference-bonus":{"ru":"Бонус за референс","_type":"localeString","en":"Bonus 4 reference"},"partner-status":{"ru":"Статус партнёра","_type":"localeString","en":"Partner status"},"country":{"ru":"Страна","_type":"localeString","en":"Country"},"partner-types":{"ru":"Типы партнеров","_type":"localeString","en":"Partner types"},"branch-popover":{"ru":"область деятельности","_type":"localeString","en":"branch"},"employees-popover":{"_type":"localeString","en":"number of employees","ru":"количество сотрудников"},"partnership-programme":{"ru":"Партнерская программа","_type":"localeString","en":"Partnership program"},"partner-discounts":{"_type":"localeString","en":"Partner discounts","ru":"Партнерские скидки"},"registered-discounts":{"ru":"Дополнительные преимущества за регистрацию сделки","_type":"localeString","en":"Additional benefits for registering a deal"},"additional-advantages":{"ru":"Дополнительные преимущества","_type":"localeString","en":"Additional Benefits"},"additional-requirements":{"ru":"Требования к уровню партнера","_type":"localeString","en":"Partner level requirements"},"certifications":{"_type":"localeString","en":"Certification of technical specialists","ru":"Сертификация технических специалистов"},"sales-plan":{"ru":"Годовой план продаж","_type":"localeString","en":"Annual Sales Plan"},"partners-vendors":{"en":"Partners-vendors","ru":"Партнеры-производители","_type":"localeString"},"partners-suppliers":{"ru":"Партнеры-поставщики","_type":"localeString","en":"Partners-suppliers"},"all-countries":{"_type":"localeString","en":"All countries","ru":"Все страны"},"supplied-products":{"_type":"localeString","en":"Supplied products","ru":"Поставляемые продукты"},"vendored-products":{"ru":"Производимые продукты","_type":"localeString","en":"Produced products"},"vendor-implementations":{"ru":"Производимые внедрения","_type":"localeString","en":"Produced deployments"},"supplier-implementations":{"ru":"Поставляемые внедрения","_type":"localeString","en":"Supplied deployments"},"show-all":{"en":"Show all","ru":"Показать все","_type":"localeString"},"not-yet-converted":{"en":"Data is moderated and will be published soon. Please, try again later.","ru":"Данные модерируются и вскоре будут опубликованы. Попробуйте повторить переход через некоторое время.","_type":"localeString"},"schedule-event":{"en":"Events schedule","ru":"Pасписание событий","_type":"localeString"},"implementations":{"en":"Deployments","ru":"Внедрения","_type":"localeString"},"register":{"ru":"Регистрация ","_type":"localeString","en":"Register"},"login":{"en":"Login","ru":"Вход","_type":"localeString"},"auth-message":{"_type":"localeString","en":"To view company events please log in or register on the sit.","ru":"Для просмотра ивентов компании авторизируйтесь или зарегистрируйтесь на сайт."},"company-presentation":{"_type":"localeString","en":"Company presentation","ru":"Презентация компании"}},"header":{"help":{"_type":"localeString","en":"Help","de":"Hilfe","ru":"Помощь"},"how":{"de":"Wie funktioniert es","ru":"Как это работает","_type":"localeString","en":"How does it works"},"login":{"en":"Log in","de":"Einloggen","ru":"Вход","_type":"localeString"},"logout":{"_type":"localeString","en":"logout","ru":"Выйти"},"faq":{"de":"FAQ","ru":"FAQ","_type":"localeString","en":"FAQ"},"references":{"_type":"localeString","en":"Requests","de":"References","ru":"Мои запросы"},"solutions":{"ru":"Возможности","_type":"localeString","en":"Solutions"},"find-it-product":{"_type":"localeString","en":"Selection and comparison of IT product","ru":"Подбор и сравнение ИТ продукта"},"autoconfigurator":{"ru":"Калькулятор цены","_type":"localeString","en":" Price calculator"},"comparison-matrix":{"_type":"localeString","en":"Comparison Matrix","ru":"Матрица сравнения"},"roi-calculators":{"_type":"localeString","en":"ROI calculators","ru":"ROI калькуляторы"},"b4r":{"en":"Bonus for reference","ru":"Бонус за референс","_type":"localeString"},"business-booster":{"en":"Business boosting","ru":"Развитие бизнеса","_type":"localeString"},"catalogs":{"_type":"localeString","en":"Catalogs","ru":"Каталоги"},"products":{"ru":"Продукты","_type":"localeString","en":"Products"},"implementations":{"en":"Deployments","ru":"Внедрения","_type":"localeString"},"companies":{"ru":"Компании","_type":"localeString","en":"Companies"},"categories":{"ru":"Категории","_type":"localeString","en":"Categories"},"for-suppliers":{"en":"For suppliers","ru":"Поставщикам","_type":"localeString"},"blog":{"en":"Blog","ru":"Блог","_type":"localeString"},"agreements":{"ru":"Сделки","_type":"localeString","en":"Deals"},"my-account":{"_type":"localeString","en":"My account","ru":"Мой кабинет"},"register":{"ru":"Зарегистрироваться","_type":"localeString","en":"Register"},"comparison-deletion":{"_type":"localeString","en":"Deletion","ru":"Удаление"},"comparison-confirm":{"ru":"Подтвердите удаление","_type":"localeString","en":"Are you sure you want to delete"},"search-placeholder":{"ru":"Введите поисковый запрос","_type":"localeString","en":"Enter your search term"},"my-profile":{"en":"My Profile","ru":"Мои Данные","_type":"localeString"},"about":{"_type":"localeString","en":"About Us"},"it_catalogs":{"_type":"localeString","en":"IT catalogs"},"roi4presenter":{"_type":"localeString","en":"Roi4Presenter"},"roi4webinar":{"_type":"localeString","en":"Roi4Webinar"},"sub_it_catalogs":{"_type":"localeString","en":"Find IT product"},"sub_b4reference":{"_type":"localeString","en":"Get reference from user"},"sub_roi4presenter":{"en":"Make online presentations","_type":"localeString"},"sub_roi4webinar":{"en":"Create an avatar for the event","_type":"localeString"},"catalogs_new":{"en":"Products","_type":"localeString"},"b4reference":{"en":"Bonus4Reference","_type":"localeString"},"it_products":{"_type":"localeString","en":"Find and compare IT products"},"it_implementations":{"_type":"localeString","en":"Learn implementation reviews"},"it_companies":{"en":"Find vendor and company-supplier","_type":"localeString"},"it_categories":{"en":"Calculate ROI and price","_type":"localeString"},"it_our_products":{"en":"Our Products","_type":"localeString"},"it_it_catalogs":{"_type":"localeString","en":"IT catalogs"}},"footer":{"copyright":{"de":"Alle rechte vorbehalten","ru":"Все права защищены","_type":"localeString","en":"All rights reserved"},"company":{"ru":"О компании","_type":"localeString","en":"My Company","de":"Über die Firma"},"about":{"_type":"localeString","en":"About us","de":"Über uns","ru":"О нас"},"infocenter":{"de":"Infocenter","ru":"Инфоцентр","_type":"localeString","en":"Infocenter"},"tariffs":{"ru":"Тарифы","_type":"localeString","en":"Subscriptions","de":"Tarife"},"contact":{"ru":"Связаться с нами","_type":"localeString","en":"Contact us","de":"Kontaktiere uns"},"marketplace":{"de":"Marketplace","ru":"Marketplace","_type":"localeString","en":"Marketplace"},"products":{"en":"Products","de":"Produkte","ru":"Продукты","_type":"localeString"},"compare":{"_type":"localeString","en":"Pick and compare","de":"Wähle und vergleiche","ru":"Подобрать и сравнить"},"calculate":{"de":"Kosten berechnen","ru":"Расчитать стоимость","_type":"localeString","en":"Calculate the cost"},"get_bonus":{"de":"Holen Sie sich einen Rabatt","ru":"Бонус за референс","_type":"localeString","en":"Bonus for reference"},"salestools":{"de":"Salestools","ru":"Salestools","_type":"localeString","en":"Salestools"},"automatization":{"ru":"Автоматизация расчетов","_type":"localeString","en":"Settlement Automation","de":"Abwicklungsautomatisierung"},"roi_calcs":{"de":"ROI-Rechner","ru":"ROI калькуляторы","_type":"localeString","en":"ROI calculators"},"matrix":{"de":"Vergleichsmatrix","ru":"Матрица сравнения","_type":"localeString","en":"Comparison matrix"},"b4r":{"ru":"Rebate 4 Reference","_type":"localeString","en":"Rebate 4 Reference","de":"Rebate 4 Reference"},"our_social":{"de":"Unsere sozialen Netzwerke","ru":"Наши социальные сети","_type":"localeString","en":"Our social networks"},"subscribe":{"_type":"localeString","en":"Subscribe to newsletter","de":"Melden Sie sich für den Newsletter an","ru":"Подпишитесь на рассылку"},"subscribe_info":{"ru":"и узнавайте первыми об акциях, новых возможностях и свежих обзорах софта","_type":"localeString","en":"and be the first to know about promotions, new features and recent software reviews"},"policy":{"ru":"Политика конфиденциальности","_type":"localeString","en":"Privacy Policy"},"user_agreement":{"ru":"Пользовательское соглашение ","_type":"localeString","en":"Agreement"},"solutions":{"_type":"localeString","en":"Solutions","ru":"Возможности"},"find":{"_type":"localeString","en":"Selection and comparison of IT product","ru":"Подбор и сравнение ИТ продукта"},"quote":{"_type":"localeString","en":"Price calculator","ru":"Калькулятор цены"},"boosting":{"ru":"Развитие бизнеса","_type":"localeString","en":"Business boosting"},"4vendors":{"ru":"поставщикам","_type":"localeString","en":"4 vendors"},"blog":{"ru":"блог","_type":"localeString","en":"blog"},"pay4content":{"ru":"платим за контент","_type":"localeString","en":"we pay for content"},"categories":{"ru":"категории","_type":"localeString","en":"categories"},"showForm":{"en":"Show form","ru":"Показать форму","_type":"localeString"},"subscribe__title":{"ru":"Раз в месяц мы отправляем дайджест актуальных новостей ИТ мира!","_type":"localeString","en":"We send a digest of actual news from the IT world once in a month!"},"subscribe__email-label":{"en":"Email","ru":"Email","_type":"localeString"},"subscribe__name-label":{"_type":"localeString","en":"Name","ru":"Имя"},"subscribe__required-message":{"ru":"Это поле обязательное","_type":"localeString","en":"This field is required"},"subscribe__notify-label":{"ru":"Да, пожалуйста уведомляйте меня о новостях, событиях и предложениях","_type":"localeString","en":"Yes, please, notify me about news, events and propositions"},"subscribe__agree-label":{"en":"By subscribing to the newsletter, you agree to the %TERMS% and %POLICY% and agree to the use of cookies and the transfer of your personal data","ru":"Подписываясь на рассылку, вы соглашаетесь с %TERMS% и %POLICY% и даете согласие на использование файлов cookie и передачу своих персональных данных*","_type":"localeString"},"subscribe__submit-label":{"_type":"localeString","en":"Subscribe","ru":"Подписаться"},"subscribe__email-message":{"en":"Please, enter the valid email","ru":"Пожалуйста, введите корректный адрес электронной почты","_type":"localeString"},"subscribe__email-placeholder":{"en":"username@gmail.com","ru":"username@gmail.com","_type":"localeString"},"subscribe__name-placeholder":{"en":"Last, first name","ru":"Имя Фамилия","_type":"localeString"},"subscribe__success":{"en":"You are successfully subscribed! Check you mailbox.","ru":"Вы успешно подписаны на рассылку. Проверьте свой почтовый ящик.","_type":"localeString"},"subscribe__error":{"ru":"Не удалось оформить подписку. Пожалуйста, попробуйте позднее.","_type":"localeString","en":"Subscription is unsuccessful. Please, try again later."},"roi4presenter":{"en":"Roi4Presenter","de":"roi4presenter","ru":"roi4presenter","_type":"localeString"},"it_catalogs":{"_type":"localeString","en":"IT catalogs"},"roi4webinar":{"_type":"localeString","en":"Pitch Avatar"},"b4reference":{"en":"Bonus4Reference","_type":"localeString"}},"breadcrumbs":{"home":{"_type":"localeString","en":"Home","ru":"Главная"},"companies":{"ru":"Компании","_type":"localeString","en":"Companies"},"products":{"en":"Products","ru":"Продукты","_type":"localeString"},"implementations":{"_type":"localeString","en":"Deployments","ru":"Внедрения"},"login":{"en":"Login","ru":"Вход","_type":"localeString"},"registration":{"en":"Registration","ru":"Регистрация","_type":"localeString"},"b2b-platform":{"en":"B2B platform for IT buyers, vendors and suppliers","ru":"Портал для покупателей, поставщиков и производителей ИТ","_type":"localeString"}},"comment-form":{"title":{"en":"Leave comment","ru":"Оставить комментарий","_type":"localeString"},"firstname":{"ru":"Имя","_type":"localeString","en":"First name"},"lastname":{"_type":"localeString","en":"Last name","ru":"Фамилия"},"company":{"en":"Company name","ru":"Компания","_type":"localeString"},"position":{"_type":"localeString","en":"Position","ru":"Должность"},"actual-cost":{"ru":"Фактическая стоимость","_type":"localeString","en":"Actual cost"},"received-roi":{"en":"Received ROI","ru":"Полученный ROI","_type":"localeString"},"saving-type":{"ru":"Тип экономии","_type":"localeString","en":"Saving type"},"comment":{"_type":"localeString","en":"Comment","ru":"Комментарий"},"your-rate":{"en":"Your rate","ru":"Ваша оценка","_type":"localeString"},"i-agree":{"en":"I agree","ru":"Я согласен","_type":"localeString"},"terms-of-use":{"_type":"localeString","en":"With user agreement and privacy policy","ru":"С пользовательским соглашением и политикой конфиденциальности"},"send":{"en":"Send","ru":"Отправить","_type":"localeString"},"required-message":{"en":"{NAME} is required filed","ru":"{NAME} - это обязательное поле","_type":"localeString"}},"maintenance":{"title":{"_type":"localeString","en":"Site under maintenance","ru":"На сайте проводятся технические работы"},"message":{"ru":"Спасибо за ваше понимание","_type":"localeString","en":"Thank you for your understanding"}}},"translationsStatus":{"company":"success"},"sections":{},"sectionsStatus":{},"pageMetaData":{"company":{"meta":[{"content":"https://roi4cio.com/fileadmin/templates/roi4cio/image/roi4cio-logobig.jpg","name":"og:image"},{"content":"website","name":"og:type"}],"translatable_meta":[{"translations":{"_type":"localeString","en":"Company","ru":"Компания"},"name":"title"},{"translations":{"en":"Company description","ru":"Описание компании","_type":"localeString"},"name":"description"},{"name":"keywords","translations":{"en":"Company keywords","ru":"Ключевые слова для компании","_type":"localeString"}}],"title":{"en":"ROI4CIO: Company","ru":"ROI4CIO: Компания","_type":"localeString"}}},"pageMetaDataStatus":{"company":"success"},"subscribeInProgress":false,"subscribeError":false},"auth":{"inProgress":false,"error":false,"checked":true,"initialized":false,"user":{},"role":null,"expires":null},"products":{"productsByAlias":{},"aliases":{},"links":{},"meta":{},"loading":false,"error":null,"useProductLoading":false,"sellProductLoading":false,"templatesById":{},"comparisonByTemplateId":{}},"filters":{"filterCriterias":{"loading":false,"error":null,"data":{"price":{"min":0,"max":6000},"users":{"loading":false,"error":null,"ids":[],"values":{}},"suppliers":{"loading":false,"error":null,"ids":[],"values":{}},"vendors":{"loading":false,"error":null,"ids":[],"values":{}},"roles":{"id":200,"title":"Roles","values":{"1":{"id":1,"title":"User","translationKey":"user"},"2":{"id":2,"title":"Supplier","translationKey":"supplier"},"3":{"id":3,"title":"Vendor","translationKey":"vendor"}}},"categories":{"flat":[],"tree":[]},"countries":{"loading":false,"error":null,"ids":[],"values":{}}}},"showAIFilter":false},"companies":{"companiesByAlias":{"alphasoc":{"id":5886,"title":"AlphaSOC","logoURL":"https://roi4cio.com/uploads/roi/company/alphasoc.png","alias":"alphasoc","address":"San Francisco, California","roles":[{"id":2,"type":"supplier"},{"id":3,"type":"vendor"}],"description":"Сотни групп безопасности используют <b>AlphaSOC</b> Analytics Engine для обнаружения зараженных хостов и возникающих угроз. AlphaSOC обрабатывает сетевую телеметрию и выполняет глубокий анализ и оповещает о подозрительных событиях, выявляя новые и неизвестные угрозы. \r\n Мы очень серьезно относимся к безопасности в <b>AlphaSOC</b> и понимаем, насколько важна ответственность за защиту данных для наших клиентов. Поэтому, мы гордимся тем, что превышаем стандарты.\r\nИсточник: https://alphasoc.com/","companyTypes":["supplier","vendor"],"products":{},"vendoredProductsCount":1,"suppliedProductsCount":1,"supplierImplementations":[],"vendorImplementations":[],"userImplementations":[],"userImplementationsCount":0,"supplierImplementationsCount":0,"vendorImplementationsCount":0,"vendorPartnersCount":0,"supplierPartnersCount":0,"b4r":0,"categories":{"40":{"id":40,"title":"Защита конечных устройств","description":"В сетевой безопасности безопасность конечных точек относится к методологии защиты корпоративной сети при доступе через удаленные устройства, такие как ноутбуки или другие беспроводные и мобильные устройства. Каждое устройство с удаленным подключением к сети создает потенциальную точку входа для угроз безопасности. Безопасность конечных точек предназначена для защиты каждой конечной точки в сети, созданной этими устройствами.\r\nОбычно безопасность конечных точек - это система, которая состоит из программного обеспечения безопасности, расположенного на центрально управляемом и доступном сервере или шлюзе в сети, в дополнение к клиентскому программному обеспечению, устанавливаемому на каждой из конечных точек (или устройств). Сервер аутентифицирует логины с конечных точек, а также обновляет программное обеспечение устройства при необходимости. Хотя программное обеспечение для обеспечения безопасности конечных точек различается в зависимости от поставщика, можно ожидать, что большинство предложений программного обеспечения будут содержать антивирус, антишпионское ПО, брандмауэр, а также систему предотвращения вторжений на хост (HIPS).\r\nБезопасность конечных точек становится все более распространенной функцией безопасности ИТ, поскольку все больше сотрудников привлекают к работе мобильные устройства потребителей, а компании разрешают своим мобильным сотрудникам использовать эти устройства в корпоративной сети.","materialsDescription":"<span style=\"font-weight: bold; \">Что такое конечные точки?</span>\r\nЛюбое устройство, которое может подключаться к центральной сети предприятия, считается конечной точкой. Конечные точки являются потенциальными местами проникновения вредоносных программ и нуждаются в надежной защите, так как они — это часто самое слабое звено сетевой безопасности.\r\n<span style=\"font-weight: bold; \">Что такое управление защитой конечных точек?</span>\r\nНабор правил, определяющих уровень безопасности, которому должно соответствовать каждое устройство, подключенное к сети предприятия. Эти правила могут предусматривать использование одобренной операционной системы (ОС), установку виртуальной частной сети (VPN) или использование современного антивирусного программного обеспечения. Если подключающееся к сети устройство не имеет требуемого уровня защиты, может использоваться гостевая сеть с ограниченным доступом.\r\n<span style=\"font-weight: bold; \">Что такое программное обеспечение для защиты конечных точек?</span>\r\nПрограммы, которые обеспечивают защиту ваших устройств. Программное обеспечение для защиты конечных точек может быть облачным и работать как SaaS (программное обеспечение как услуга). Его также может установить как отдельное приложение на каждом устройстве.\r\n<span style=\"font-weight: bold;\">Что такое Endpoint Detection and Response (EDR)?</span>\r\nРешения по защите конечных точек от угроз (Endpoint Detection and Response или EDR) анализируют файлы и программы и сообщают о найденных угрозах. Решения EDR постоянно отслеживают сложные угрозы, помогая выявлять атаки на раннем этапе и быстро на них реагировать.\r\n<span style=\"font-weight: bold;\">Что такое EPP (Endpoint Protection Platform)?</span>\r\nEPP (Endpoint Protection Platform) — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Комплексная защита рабочей станции, включающая классический антивирус, расширенные технологии безопасности (персональный межсетевой экран, система предотвращения вторжений, контроль приложений, управление cъемными носителями и др.) и инструменты расследования и восстановления.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_Endpoint_security.png","alias":"zashchita-konechnykh-ustroistv"},"45":{"id":45,"title":"SIEM - управление информацией и событиями в системе безопасности","description":"SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.\r\nТехнология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.\r\nС растущим объемом информации, которая обрабатывается и передается между различными информационными системами (ИС), организации и отдельные пользователи все больше зависят от непрерывности и корректности выполнения данных процессов. Для реагирования на угрозы безопасности в ИС необходимо иметь инструменты, позволяющие анализировать в реальном времени происходящие события, число которых только растет. Одним из решений данной проблемы является использование SIEM-систем. Основополагающий принцип системы SIEM заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности. SIEM представляет собой объединение систем управления информационной безопасностью (SIM) и управления событиями безопасности (SEM) в единую систему управления безопасностью. Сегмент SIM, в основном, отвечает за анализ исторических данных, стараясь улучшить долгосрочную эффективность системы и оптимизировать хранение исторических данных. Сегмент SEM, напротив, делает акцент на выгрузке из имеющихся данных определенного объема информации, с помощью которого могут быть немедленно выявлены инциденты безопасности. По мере роста потребностей в дополнительных возможностях непрерывно расширяется и дополняется функциональность данной категории продуктов.\r\nОдной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме.\r\nУпреждающее управление инцидентами и событиями безопасности заключается в принятии решений еще до того, как ситуация станет критической. Такое управление может осуществляться с использованием автоматических механизмов, которые прогнозируют будущие события на основе исторических данных, а также автоматической подстройки параметров мониторинга событий к конкретному состоянию системы.\r\nSIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.\r\nПонятие управление событиями информационной безопасности (SIEM), введенное Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 г., описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, службами каталогов и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты","materialsDescription":" <span style=\"font-weight: bold; \">Что такое SIEM?</span>\r\nSIEM начинался как объединение двух разных решений кибербезопасности: Управление событиями безопасности (SEM) и Управление информацией о безопасности (SIM).\r\nSEM служил инструментом управления угрозами, предназначенным главным образом для борьбы с угрозами в более ранних сетевых средах и поддержки реагирования на инциденты. Между тем, SIM предлагает управление журналами, исторический анализ и криминалистические возможности.\r\nДругими словами, SIEM объединяет возможности SEM и SIM в одно решение для предприятий.\r\n<span style=\"font-weight: bold; \">Отличается ли SIEM от управления журналами?</span>\r\nРешения по управлению журналами (LEM) позволяют предприятиям отслеживать действия пользователей и обрабатывать огромные объемы данных. Большинство решений SIEM предлагают управление журналами в качестве одной из своих ключевых возможностей, хотя SIEM также предлагает предупреждения безопасности, обнаружение угроз, устранение угроз и корреляцию событий безопасности, необходимых для кибербезопасности.\r\nУправление журналом само по себе недостаточно для обеспечения вашей максимальной защиты от кибербезопасности, хотя это важно для обеспечения соответствия нормативным требованиям во многих случаях использования.\r\n<span style=\"font-weight: bold; \">Какие ключевые возможности в SIEM?</span>\r\nКонечно, ни один список вопросов SIEM не будет полным, если не вдаваться в ключевые возможности решения. Хотя упрощение может представлять опасность для более полного понимания, мы можем разбить ключевые возможности SIEM на три категории компонентов: управление журналами, обнаружение угроз и соответствие требованиям.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">Податливость</span></span>\r\nРаннее внедрение SIEM обусловлено необходимостью соблюдения требований крупными предприятиями. Однако почти любое предприятие в любой отрасли должно соответствовать определенным нормативным требованиям, будь то государственное или промышленное; потребность в SIEM, безусловно, возросла в последние годы.\r\nОбработка и компиляция данных SIEM позволяют легко выполнять отчеты о соответствии. Фактически, SIEM может помочь вашему предприятию в реализации таких важных инициатив, как HIPAA.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">Управление журналами</span></span>\r\nКак описано выше, управление журналами предоставляет предприятиям архитектуру для обработки огромных объемов данных. Эта, казалось бы, простая задача предлагает огромные преимущества вашей ИТ-команде.\r\nНапример, ваша команда может выполнить нормализацию данных, позволяя им адекватно анализировать данные из разнородных источников по всей сети без хлопот. Кроме того, они могут сопоставлять события безопасности из этих разрозненных областей сети, что позволяет им быстро определять шаблоны, указывающие на угрозу.\r\nКроме того, управление журналами предоставляет функции корпоративного поиска (в идеале, с несколькими вариантами запросов, фильтрами и параметрами классификации). Он также должен учитывать функции хранения, сохранения, сжатия, шифрования и архивирования данных.\r\n<span style=\"font-weight: bold; \"><span style=\"font-style: italic; \">Обнаружение угрозы</span></span>\r\nКонечно, SIEM помогает предприятиям улучшить обнаружение угроз, улучшая видимость своей сети. Основное правило в кибербезопасности - вы не можете защитить то, что не видите.\r\nКроме того, SIEM может подключить ваше предприятие к различным источникам информации об угрозах, которые дополняют ваше обнаружение и реагирование. Возможности обнаружения угроз позволяют предприятиям обнаруживать цифровые угрозы в своих сетях. Они сокращают время ожидания злоумышленника, предотвращают компрометацию личных данных, сокращают затраты на восстановление и повышают доверие клиентов.\r\n<span style=\"font-weight: bold; \">SIEM подходит только для крупного предприятия?</span>\r\nСреди наиболее актуальных вопросов SIEM для малого и среднего бизнеса. Когда-то это могло быть правдой, что только крупные компании могли извлечь выгоду из SIEM. Но из-за того, что парадигма кибербезопасности меняется так быстро, малым и средним предприятиям также нужна SIEM.<br />Однако лицам, принимающим решения в области ИТ на вашем предприятии, следует потратить время на изучение различных решений SIEM, чтобы убедиться, что их возможности соответствуют вашему корпоративному варианту использования. Некоторые решения SIEM могут оказаться более подходящими для вашей отрасли или размера вашего бизнеса.\r\nС другой стороны, если вы SMB, вы также можете убедиться, что ваше решение SIEM может масштабироваться, если и когда ваш бизнес будет расти.\r\n<span style=\"font-weight: bold; \">Как мне развернуть решение SIEM?</span>\r\nТщательно и осознанно. SIEM может оказаться трудным для правильного развертывания, если вы попытаетесь использовать SIEM везде в своей сети одновременно. Кроме того, это может вызвать серьезные проблемы с внедрением и возможные проблемы с интеграцией, что приведет к перегрузке вашей ИТ-команды.<br />Поэтому вы должны отдавать приоритет развертыванию вашего решения SIEM. Выберите наиболее ценные, ценные и конфиденциальные базы данных и сначала разверните решение там. Следите за тем, как решение соответствует вашей корпоративной сети, и определите, где корректировки могут оказаться необходимыми. С этого момента развертывание в остальных ваших базах данных не должно быть такой сложной задачей.\r\n<span style=\"font-weight: bold;\">Что потребуется SIEM?</span>\r\nМногие предприятия задают вопросы SIEM, но немногие не забывают спрашивать об этом.<br />Вся кибербезопасность - это улица с двусторонним движением. Правильное решение абсолютно составляет половину уравнения. Однако для другой половины ваша команда ИТ-безопасности и ваши сотрудники должны участвовать в ее оптимальной производительности.\r\nSIEM требует хороших правил корреляции для своих предупреждений безопасности; ваша группа ИТ-безопасности должна регулярно отслеживать и обновлять эти правила корреляции. Кроме того, вам необходимо убедиться, что ваше решение SIEM интегрируется с другими вашими решениями кибербезопасности; проблема интеграции может привести к увеличению затрат и брешей в безопасности.<br />Но помимо этого, ваши сотрудники должны использовать лучшие практики кибербезопасности. Регулярное обучение кибербезопасности должно стать основной частью программ развития навыков ваших сотрудников.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_SIEM.png","alias":"siem-upravlenie-informaciei-i-sobytijami-v-sisteme-bezopasnosti"},"204":{"id":204,"title":"Обнаружение угроз и реагирование","description":"MDR, что означает "Managed Detection and Response" («Обнаружение угроз и реагирование»), представляет собой всеобъемлющую систему обнаружения угроз, которая возникла из-за потребности малых и средних организаций, которым не хватает ресурсов, чтобы иметь возможность самостоятельно контролировать свои сетевые системы. Это обеспечивает экономически эффективную альтернативу SIEM (информация о безопасности и управление событиями).\r\nКаждый день возможности злоумышленников становятся все более изощренными, а объем предупреждений становится огромным и неуправляемым. Внутренние группы могут изо всех сил пытаться анализировать и регистрировать данные, что затрудняет, как никогда ранее, определение того, являются ли эти угрозы вредными. MDR может остановить атаки еще до того, как они произойдут. Технология MDR контролирует ваши системы и выявляет любые необычные действия, в то время как наша команда экспертов реагирует на угрозы, обнаруженные в вашем бизнесе.\r\nMDR предлагает анализ угроз в реальном времени и способен анализировать поведение, которое может быть пропущено при использовании традиционных технологий безопасности конечных точек. MDR также обеспечивает быструю идентификацию известных угроз, что, в свою очередь, сводит к минимуму общие атаки. Дистанционное расследование инцидентов сведет к минимуму ущерб вашему бизнесу и позволит вам быстро вернуться к работе. Важно отметить, что использование услуг MDR позволит третьим лицам получить доступ к данным вашей компании. Вам нужно подумать о работе с поставщиком, который понимает и уважает вашу политику в отношении данных.","materialsDescription":"<span style=\"font-weight: bold;\"> Что такое управляемое обнаружение и реагирование?</span>\r\nУправляемое обнаружение и реагирование (MDR) - это управляемая служба кибербезопасности, которая обеспечивает обнаружение вторжений вредоносных программ и действий в вашей сети и помогает быстро реагировать на инциденты для устранения этих угроз с помощью кратких действий по исправлению. MDR обычно объединяет технологическое решение с внешними аналитиками безопасности, которые расширяют ваши технологии и команду.\r\n<span style=\"font-weight: bold;\">Разве это не то, что делают MSSP или управляемые SIEM?</span>\r\nНет. Поставщики услуг управляемой безопасности (MSSP) контролируют меры безопасности сети и могут отправлять оповещения при обнаружении аномалий. MSSP обычно не исследуют аномалии для устранения ложных срабатываний и не реагируют на реальные угрозы. Это означает, что отклонения в использовании сети передаются вашему ИТ-персоналу, который затем должен просмотреть данные, чтобы определить, существует ли реальная угроза и что с этим делать.\r\n<span style=\"font-weight: bold;\">Мой брандмауэр не защищает мою сеть?</span>\r\nМежсетевые экраны и другие превентивные формы кибербезопасности очень важны и эффективны для предотвращения основных кибератак. Однако за последнее десятилетие стало ясно, что превентивных технологий кибербезопасности недостаточно для защиты сети организации. Кроме того, они являются еще одним источником предупреждений, сообщений журнала и событий, которые способствуют «усталости от предупреждений», от которой сегодня повсеместно страдают. Последние крупные взломы, такие как Marriot Hack от 2018 года, Anthem Hack от 2015 года и Target Hack от 2013 года, демонстрируют, как легко киберпреступники могут взломать сети в корпоративных организациях, чтобы украсть миллионы номеров кредитных карт, медицинских карт и других форм PII/PHI.","iconURL":"https://roi4cio.com/fileadmin/user_upload/Endpoint_Detection_and_Response.png","alias":"obnaruzhenie-ugroz-i-reagirovanie"},"465":{"id":465,"title":"Аналитика поведения пользователей и объектов","description":"Cистемы анализа поведения пользователей и сущностей (User and Entity Behavior Analytics - UEBA) — решения, направленные на поиск и выявление аномалий в поведении пользователей и различных систем.\r\nКласс решений поведенческого анализа появился в связи с тем, что для обеспечения информационной безопасности в компаниях внедряют множество различных систем сбора данных. При этом сотрудники не всегда способны просматривать все полученные сведения и вовремя реагировать на потенциальные инциденты. Составляя профили, системы UEBA повышают эффективность и обеспечивают своевременное реагирование на возможные утечки данных.\r\nСистемы UEBA крайне близки к решениям поведенческого анализа пользователей (UBA) и, по сути, являются их продолжением. Отличием этих систем друг от друга служит наличие в UEBA профилирования и анализа сущностей, под которыми понимаются приложения, системы хранения данных, сетевой трафик, устройства, серверы и данные. Помимо этого, системы UEBA позволяют решать проблемы не только внутренних утечек конфиденциальных данных, но и внешних целенаправленных на систему атак. В виду расширения объектов анализа, в системе создаются профили не только пользователей, но и различных сущностей, что позволяет своевременно реагировать на скомпрометированные активы и объекты инфраструктуры. Кроме того, системы UBA обычно реализованы в виде отдельных решений под определенные задачи. Они могут самостоятельно функционировать без интеграции с другими решениями, в то время как UEBA поставляются в рамках платформы и могут использовать данные других систем.\r\nНаличие анализа поведения сущностей расширяет возможности системы и отражает тот факт, что сетевые устройства могут в равной мере использоваться в сетевой атаке, и составление модели их поведения может быть полезным при обнаружении активности атаки.","materialsDescription":" <span style=\"font-weight: bold;\">Что такое UEBA?</span>\r\nХакеры могут взломать брандмауэры, отправить вам электронные письма с вредоносными и зараженными вложениями или даже подкупить сотрудника, чтобы получить доступ к вашим брандмауэрам. Старые инструменты и системы быстро устаревают, и есть несколько способов их обойти.\r\nАнализ поведения пользователей и организаций (UEBA) дает вам более комплексный способ убедиться, что ваша организация обладает первоклассной ИТ-безопасностью, а также помогает выявлять пользователей и организации, которые могут поставить под угрозу всю вашу систему.\r\nUEBA - это тип процесса кибербезопасности, который учитывает нормальное поведение пользователей. В свою очередь, они обнаруживают любое аномальное поведение или случаи, когда есть отклонения от этих «нормальных» паттернов. Например, если конкретный пользователь регулярно загружает 10 МБ файлов каждый день, но внезапно загружает гигабайты файлов, система сможет обнаружить эту аномалию и немедленно предупредить их.\r\nUEBA использует машинное обучение, алгоритмы и статистический анализ, чтобы узнать, когда есть отклонение от установленных шаблонов, показывая, какие из этих аномалий могут привести к потенциальной, реальной угрозе. UEBA также может объединять данные, которые вы имеете в своих отчетах и журналах, а также анализировать информацию о файлах, потоках и пакетах.\r\nВ UEBA вы не отслеживаете события безопасности и не отслеживаете устройства; вместо этого вы отслеживаете всех пользователей и сущностей в вашей системе. Таким образом, UEBA фокусируется на внутренних угрозах, таких как сотрудники, которые стали мошенниками, сотрудники, которые уже скомпрометированы, и люди, которые уже имеют доступ к вашей системе, а затем проводят целевые атаки и попытки мошенничества, а также серверы, приложения, и устройства, которые работают в вашей системе.\r\n<span style=\"font-weight: bold;\">Каковы преимущества UEBA?</span>\r\nК сожалению, современные инструменты кибербезопасности быстро устаревают, и теперь более опытные хакеры и кибер-злоумышленники могут обойти защиту периметра, используемую большинством компаний. В старые времена вы были в безопасности, если у вас были веб-шлюзы, брандмауэры и инструменты предотвращения вторжений. Это больше не относится к сегодняшнему сложному ландшафту угроз, и это особенно верно для крупных корпораций, у которых, как доказано, есть очень пористые периметры ИТ, которыми также очень трудно управлять и контролировать.\r\nВ чем суть? Профилактических мер уже недостаточно. Ваши брандмауэры не будут на 100% надежными, и хакеры и злоумышленники попадут в вашу систему в тот или иной момент. Вот почему обнаружение не менее важно: когда хакеры успешно проникнут в вашу систему, вы сможете быстро обнаружить их присутствие, чтобы минимизировать ущерб.\r\n<span style=\"font-weight: bold;\">Как работает UEBA?</span>\r\nПредпосылка UEBA на самом деле очень проста. Вы можете легко украсть имя пользователя и пароль сотрудника, но гораздо труднее имитировать его обычное поведение, находясь в сети.\r\nНапример, допустим, вы украли пароль и имя пользователя Джейн Доу. Вы все равно не сможете действовать точно так же, как Джейн Доу, однажды в системе, если не будете проводить обширные исследования и подготовку. Поэтому, когда имя пользователя Джейн Доу вошло в систему, и ее поведение отличается от обычного поведения Джейн Доу, то есть, когда начинают звучать предупреждения UEBA.<br />Еще одна аналогия может быть связана с кражей вашей кредитной карты. Вор может украсть ваш кошелек, пойти в магазин высокого класса и начать тратить тысячи долларов, используя вашу кредитную карту. Если ваши расходы на эту карту отличаются от воровских, отдел обнаружения мошенничества компании часто распознает ненормальные расходы и блокирует подозрительные покупки, отправляя вам предупреждение или прося вас подтвердить подлинность транзакции.\r\nТаким образом, UEBA является очень важным компонентом информационной безопасности, позволяя вам:\r\n1. Обнаружение внутренних угроз. Не так уж и сложно представить, что сотрудник или, возможно, группа сотрудников могут совершать мошеннические действия, красть данные и информацию, используя свой собственный доступ. UEBA может помочь вам обнаружить утечки данных, саботаж, злоупотребление привилегиями и нарушения политики, совершенные вашим собственным персоналом.\r\n2. Обнаружение скомпрометированных учетных записей. Иногда учетные записи пользователей скомпрометированы. Может случиться так, что пользователь невольно установил вредоносное ПО на свою машину, а иногда и поддельный аккаунт был подделан. UEBA может помочь вам отсеять поддельных и скомпрометированных пользователей, прежде чем они смогут нанести реальный вред.\r\n3. Обнаружить атаки методом перебора. Хакеры иногда нацеливаются на ваши облачные сущности, а также на сторонние системы аутентификации. С помощью UEBA вы можете обнаруживать попытки перебора, что позволяет блокировать доступ к этим объектам.\r\n4. Обнаружение изменений в разрешениях и создании суперпользователей. Некоторые атаки связаны с использованием суперпользователей. UEBA позволяет вам определять, когда создаются суперпользователи, или есть ли учетные записи, которым были предоставлены ненужные разрешения.\r\n5. Обнаружение взлома защищенных данных. Если у вас есть защищенные данные, недостаточно просто сохранить их в безопасности. Вы должны знать, когда пользователь получает доступ к этим данным, когда у него нет веских коммерческих причин для доступа к ним.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_User_and_Entity_Behavior_Analytics.png","alias":"analitika-povedenija-polzovatelei-i-obektov"},"467":{"id":467,"title":"Сетевая экспертиза","description":" Компьютерно-сетевая экспертиза представляет собой один из видов компьютерно-технических исследований. Данный вид анализа во многом схож с программно-компьютерной экспертизой, однако фокус экспертного внимания смещен на исследование сетевой работы пользователя. То есть анализируется, в первую очередь, действия человека, произведенные посредством компьютерных сетей. Для проведения компьютерно-сетевой экспертизы эксперт должен обладать специальными познаниями в области сетевых технологий, чтобы эффективно отслеживать движение информационных пакетов посредством изучения информационного следа. Знание принципов работы сетей позволяет соединить в общую доказательную базу все разрозненные объекты, полученные в ходе расследования, а также сведения о них. Вследствие чего наиболее эффективно решаются поставленные экспертные задачи.\r\nКомпьютерно-сетевая экспертиза в первую очередь рассматривает функциональную принадлежность компьютерных систем, реализующих сетевые технологии. Чаще всего с помощью данного исследования получаются доказательства по делам, связанным с интернет-технологиями. Предметом исследования являются информационно-компьютерные сети и обнаруживаемые следы сетевой активности пользователя. В ходе расследования преступлений, совершенных с использованием сети интернет, при отсутствии возможности получить доступ к компьютеру правонарушителя, получить доказательства можно с помощью исследования информационных следов в сети. В таких случаях используется компьютерно-сетевая экспертиза.\r\nДанный вид исследований применяется не только при расследовании различных преступлений. Компьютерно-сетевая экспертиза способна проанализировать эффективность работы сетевой системы, определить возможность внесения изменений в рабочий процесс системы, предложить пути модернизации организованной сетевой системы путем обновления компонент системы или организации более четкой архитектуры ее работы. Во многих случаях, исследование одного персонального компьютера или даже многих компьютеров по отдельности не дает должного результата, так как при сетевой организации работы данные хранятся распределенным образом, а многие рабочие процессы организованы с использованием сетевых технологий.\r\nКруг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы.","materialsDescription":"<span style=\"font-weight: bold; \">Какие задачи решает компьютерно-сетевая экспертиза?</span>\r\nКруг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы. В общем случае эксперт по проведению компьютерно-сетевой экспертизы в процессе своей деятельности решает следующие задачи:\r\n<ul><li>Выявление связей между применением конкретных сетевых объектов и результатами их работы.</li><li>Исследование событий, имевших место в сети – установление его обстоятельств и механизма действия, исходя из полученных результатов. Например, исследуются пути распыления по сети вредоносных программ, сценарии нерегламентированного доступа к данным и системам и так далее.</li><li>Исследование отображений сети в информационных блоках накопителей данных с целью выявления свойств и состояния исследуемой сети. Анализируются жесткие диски, компакт-диски, внешние накопители данных (флэшки, внешние диски и пр.), дискеты, RAID-массивы и так далее.</li><li>Выявление механизма изменения свойств исследуемой сети, а также причин данного изменения.</li><li>Установление фактов несоблюдения предписанного режима использования сети, выявление использования недопустимого или запрещенного программного обеспечения.</li><li>Определение исходного состояния все исследуемой сети, а также каждого ее компонента по отдельности. Выявление изменений, внесенных в начальное состояние компьютерной сетевой системы – были ли добавлены дополнительные сетевые устройства, изменена ли конфигурация сервера или рабочих мест и так далее.</li><li>Установление текущего состояния сетевой системы или сетевого программного или аппаратного средства. Выявление физических дефектов аппаратных средств; определение компонент доступа в сеть и состояния журнала системных событий.</li><li>Определение специфических характеристик сетевой системы, определение ее конфигурации, типа устройства архитектуры. Установление механизма организации доступа к массивам данных, а также установленных сетевых программно-аппаратных средств.</li><li>Установление факта соответствия обнаруженных характеристик и характеристик, являющихся типовыми для подобных сетевых систем.</li><li>Определение принадлежности исследуемого объекта к клиентской или серверной части сетевой системы.</li><li>Определение специфических характеристик отдельных компонент сетевой системы – программных объектов и аппаратных средств. Определение функционального предназначения, роли и места анализируемого объекта в сетевой системе.</li></ul>\r\n<span style=\"font-weight: bold;\">Почему важна криминалистика сети?</span>\r\nСетевая криминалистика важна, потому что очень много распространенных атак влечет за собой некоторый тип неправильного использования сетевых ресурсов.\r\n<span style=\"font-weight: bold;\">Как можно атаковать сеть?</span>\r\nАтаки обычно нацелены на конфиденциальность и целостность доступности. Утрата любого из этих предметов является нарушением безопасности.\r\n<span style=\"font-weight: bold;\">Где лучшее место для поиска информации?</span>\r\nИнформацию можно найти, выполнив живой анализ сети, проанализировав информацию IDS или изучив журналы, которые можно найти на маршрутизаторах и серверах.\r\n<span style=\"font-weight: bold;\">Как судебный аналитик знает, как глубоко искать информацию?</span>\r\nНекоторое количество информации может быть получено при просмотре уровня квалификации атакующего. Атакующие с небольшим навыком гораздо реже используют передовые методы сокрытия.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_Network_Forensics.png","alias":"setevaja-ehkspertiza"},"824":{"id":824,"title":"ATP - Защита от продвинутых угроз","description":" Защита от продвинутых угроз (ATP) относится к категории решений безопасности, которые защищают от сложных вредоносных программ или хакерских атак, направленных на конфиденциальные данные. Решения защиты от продвинутых угроз могут быть доступны как в виде программного обеспечения, так и в виде управляемых сервисов. Решения ATP могут различаться по подходам и компонентам, но большинство из них включают некоторую комбинацию агентов конечных точек, сетевых устройств, шлюзов электронной почты, систем защиты от вредоносных программ и централизованной консоли управления для сопоставления предупреждений и управления защитой.\r\nОсновным преимуществом, предлагаемым передовым программным обеспечением для защиты от угроз, является способность предотвращать, обнаруживать и реагировать на новые и сложные атаки, предназначенные для обхода традиционных решений безопасности, таких как антивирус, брандмауэры и IPS/IDS. Атаки продолжают становиться все более целенаправленными, скрытными и постоянными, и решения ATP используют упреждающий подход к безопасности, выявляя и устраняя сложные угрозы до того, как данные будут скомпрометированы.\r\nРасширенные службы защиты от угроз основаны на этом преимуществе, предоставляя доступ к глобальному сообществу специалистов по безопасности, которые занимаются мониторингом, отслеживанием и обменом информацией о возникающих и выявленных угрозах. Поставщики услуг ATP обычно имеют доступ к глобальным сетям обмена информацией об угрозах, дополняя свои собственные сведения об угрозах и анализ информации третьими сторонами. При обнаружении новой расширенной угрозы поставщики услуг ATP могут обновить свои средства защиты, чтобы обеспечить защиту. Эти глобальные усилия сообщества играют существенную роль в поддержании безопасности предприятий по всему миру.\r\nПредприятия, которые внедряют расширенную защиту от угроз, лучше способны обнаруживать угрозы на ранних этапах и быстрее формулируют ответные меры, чтобы минимизировать ущерб и восстановить его в случае атаки. Хороший поставщик услуг безопасности сосредоточится на жизненном цикле атаки и управляет угрозами в режиме реального времени. Поставщики ATP уведомляют предприятие о произошедших атаках, серьезности атаки и ответе, который был инициирован, чтобы остановить угрозу или минимизировать потерю данных. Независимо от того, где происходит атака или насколько серьезна атака или потенциальная атака, современные решения для защиты от угроз защищают критически важные данные и системы независимо от того, где происходит атака, независимо от того, происходит ли атака или осуществляется собственными силами.","materialsDescription":"<span style=\"font-weight: bold;\"> Как работает Advanced Protection Protection?</span>\r\nСуществуют три основные цели расширенной защиты от угроз: раннее обнаружение (обнаружение потенциальных угроз до того, как у них появится возможность доступа к критическим данным или системам взлома), адекватная защита (способность быстро защищаться от обнаруженных угроз) и реагирование (способность смягчать последствия). угрозы и реагирование на инциденты безопасности). Для достижения этих целей передовые сервисы и решения по защите от угроз должны предлагать несколько компонентов и функций для комплексного ATP:\r\n<ul><li><span style=\"font-weight: bold;\">Видимость в реальном времени</span> - без постоянного мониторинга и видимости в реальном времени угрозы часто обнаруживаются слишком поздно. Когда ущерб уже нанесен, ответ может быть чрезвычайно дорогостоящим с точки зрения как использования ресурсов, так и ущерба репутации.</li><li><span style=\"font-weight: bold;\">Контекст.</span> Для обеспечения подлинной эффективности безопасности предупреждения об угрозах должны содержать контекст, позволяющий группам безопасности эффективно определять приоритеты угроз и организовывать ответные действия.</li><li><span style=\"font-weight: bold;\">Осведомленность о данных.</span> Невозможно определить угрозы, которые действительно могут причинить вред, без глубокого понимания данных предприятия, их чувствительности, ценности и других факторов, которые способствуют выработке соответствующего ответа.</li></ul>\r\nПри обнаружении угрозы может потребоваться дальнейший анализ. Службы безопасности, предлагающие ATP, обычно выполняют анализ угроз, позволяя предприятиям вести бизнес в обычном режиме, в то время как непрерывный мониторинг, анализ угроз и реагирование происходят за кулисами. Угрозам, как правило, отдается приоритет потенциальным ущербом и классификацией или чувствительностью данных, подвергающихся риску. Расширенная защита от угроз должна касаться трех ключевых областей:\r\n<ul><li>Прекращение атак или смягчение угроз до того, как они повредят системы</li><li>Нарушение выполняемой деятельности или противодействие действиям, которые уже произошли в результате нарушения</li><li>Прерывание жизненного цикла атаки, чтобы гарантировать, что угроза не может прогрессировать или продолжить</li></ul>","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon-ATP.png","alias":"atp-zashchita-ot-prodvinutykh-ugroz"},"838":{"id":838,"title":"Обнаружение и реагирование на угрозы на конечных устройствах","description":"Обнаружение и реагирование на конечные точки (EDR) - это технология кибер-безопасности, которая предназначена для постоянного мониторинга и реагирования на сложные угрозы. Это подмножество технологий безопасности конечных точек и критическая часть оптимального состояния безопасности. EDR отличается от других платформ защиты конечных точек (EPP), таких как антивирус (AV) и защита от вредоносных программ, тем, что его основной задачей не является автоматическое прекращение угроз на предварительном этапе на конечной точке. Скорее EDR нацелена на обеспечение правильной видимости конечной точки с правильной информацией, чтобы помочь аналитикам безопасности обнаруживать, расследовать и реагировать на очень сложные угрозы и более широкие кампании атак, охватывающие несколько конечных точек.\r\nВ то время как организации малого и среднего бизнеса все чаще обращаются к технологии EDR для более совершенной защиты конечных точек, многим не хватает ресурсов, чтобы максимизировать преимущества этой технологии. Использование передовых функций EDR, таких как криминалистический анализ, поведенческий мониторинг и искусственный интеллект (ИИ), является трудоемким и ресурсоемким процессом, требующим внимания преданных специалистов по безопасности.\r\nУправляемый сервис безопасности конечных точек сочетает в себе новейшие технологии, круглосуточную команду сертифицированных CSOC экспертов и новейшие отраслевые аналитические данные для рентабельной ежемесячной подписки. Управляемые сервисы могут помочь снизить ежедневную нагрузку по мониторингу и реагированию на предупреждения, улучшить управляемость и автоматизацию безопасности (SOAR) и улучшить поиск угроз и реагирование на инциденты.","materialsDescription":" <span style=\"font-weight: bold; \">Что такое Обнаружение и реагирование на угрозы на конечных устройствах?</span>\r\nОбнаружение и реагирование угроз на конечных устройствах (EDR) - это новая технология, которая решает проблему постоянного мониторинга и реагирования на сложные угрозы. Можно даже утверждать, что обнаружение угроз и реагирование на них являются одной из форм расширенной защиты от угроз.\r\n<span style=\"font-weight: bold; \">Каковы основные аспекты безопасности EDR?</span>\r\nСогласно Gartner, эффективный EDR должен обладать следующими возможностями:\r\n<ul><li>Поиск и расследование происшествий</li><li>Проверка оповещения или подозрительной активности</li><li> Обнаружение подозрительной активности</li><li>Поиск угроз или исследование данных</li><li>Прекращение злонамеренной деятельности</li></ul>\r\n<span style=\"font-weight: bold; \">Чем полезно решение EDR?</span>\r\nПонимание ключевых аспектов EDR и их важности поможет вам лучше понять, что искать в решении. Важно найти программное обеспечение EDR, которое может обеспечить высочайший уровень защиты, при этом требуя наименьших усилий и вложений - добавляя ценность вашей команде безопасности, не истощая ресурсы. Вот шесть ключевых аспектов EDR, которыми вы должны интересоваться:\r\n<span style=\"font-weight: bold; \">1. Видимость:</span> Видимость в реальном времени всех ваших конечных точек позволяет вам видеть действия злоумышленников, даже если они пытаются вас взломать, и немедленно останавливать их.\r\n<span style=\"font-weight: bold; \">2. База данных угроз:</span> Эффективный EDR требует огромного количества телеметрии, собранной с конечных точек и обогащенной контекстом, чтобы с помощью различных аналитических методов её можно было использовать для определения признаков атаки.\r\n<span style=\"font-weight: bold; \">3. Поведенческая защита:</span> Расчет исключительно на сигнатурные методы или индикаторы компрометации (IOCs), может привести к «тихому отказу», который допускает утечку данных. Эффективный EDR требует поведенческих подходов, которые включают индикаторы атаки (IOA), поэтому вы будете предупреждены о подозрительных действиях, прежде чем может произойти компрометация.\r\n<span style=\"font-weight: bold; \">4. Проницательность и разведка:</span> Решение EDR, которое интегрирует разведку угроз, может предоставить контекст, включая сведения о противнике, который атакует вас, или другую информацию об атаке.\r\n<span style=\"font-weight: bold; \">5. Быстрая реакция:</span> EDR, обеспечивающий быстрое и точное реагирование на инциденты, может остановить атаку, прежде чем она достигнет цели, и позволит вашей организации быстро вернуться к бизнес задачам.","iconURL":"https://roi4cio.com/fileadmin/user_upload/hgghghg.png","alias":"obnaruzhenie-i-reagirovanie-na-ugrozy-na-konechnykh-ustroistvakh"},"852":{"id":852,"title":"Безопасность сети","description":" Безопасность сети - меры, предохраняющие информационную сеть. Занимается вопросами обеспечения информационной безопасности компьютерной сети и её ресурсов, в частности, хранящихся в ней и передающихся по ней данных и работающих с ней пользователей. Является расширением компьютерной безопасности (как дисциплины) и подразделом информационной безопасности. Занимается изучением и разработкой методов и практических правил работы с сетью, в том числе протоколами связи и обмена данными и криптографическими методами защиты информации.\r\nСреди рисков, которым подвергается компьютерная сеть и предотвращение которых является целью сетевой безопасности как дисциплины: несанкционированный доступ к сетевым ресурсам (например, несанкционированное чтение файлов) и предотвращение атак, целью которых является отключение тех или иных предоставляемых сетью услуг (например, недопущение всех или части пользователей к просмотру веб-сайта компании).\r\nКроме дисциплины, под термином «сетевая безопасность» может пониматься комплекс процедур, стандартов, правил и средств, призванных обеспечить безопасность компьютерной сети. Среди как аппаратных, так и программных средств и устройств, для этой цели применяемых: межсетевые экраны (файрволлы), антивирусные программы, средства мониторинга сети, средства обнаружения попыток несанкционированного доступа (вторжения), прокси-серверы и серверы аутентификации.\r\nОбеспечение сетевой безопасности является важным аспектом деятельности любой компании. По оценкам, только в 2003 году сетевые атаки нанесли бизнесу урон в 666 миллионов долларов. ","materialsDescription":" <span style=\"font-weight: bold; \">Что такое безопасность сети?</span>\r\n<span style=\"font-weight: bold; \">Безопасность сети (сетевая безопасность)</span> - это любое действие, предпринимаемое организацией для предотвращения злонамеренного использования или случайного повреждения личных данных сети, ее пользователей или их устройств. Цель сетевой безопасности - поддерживать работоспособность сети в безопасности для всех законных пользователей.\r\nПоскольку существует множество способов сделать сеть уязвимой, безопасность сети включает в себя широкий спектр методов. Они включают:\r\n<ul><li><span style=\"font-weight: bold; \">Развертывание активных устройств.</span> Использование программного обеспечения для блокировки проникновения вредоносных программ в сеть или их запуска в сети. Блокировка пользователей от отправки или получения подозрительных писем. Блокировка несанкционированного использования сети. Кроме того, прекращение доступа пользователей сети к веб-сайтам, которые, как известно, опасны.</li><li><span style=\"font-weight: bold; \">Развертывание пассивных устройств:</span> например, использование устройств и программного обеспечения, которые сообщают о несанкционированных вторжениях в сеть или подозрительных действиях авторизованных пользователей.</li><li><span style=\"font-weight: bold; \">Использование профилактических устройств:</span> устройства, которые помогают выявить потенциальные дыры в безопасности, чтобы сетевой персонал мог их исправить.</li><li><span style=\"font-weight: bold; \">Обеспечение того, чтобы пользователи следовали правилам безопасности:</span> даже если программное и аппаратное обеспечение настроено на безопасность, действия пользователей могут создать дыры в безопасности. Персонал сетевой безопасности отвечает за информирование членов организации о том, как они могут быть защищены от потенциальных угроз.</li></ul>\r\n<span style=\"font-weight: bold; \">Почему важна безопасность сети?</span>\r\nЕсли она не защищена должным образом, любая сеть уязвима для злонамеренного использования и случайного повреждения. Хакеры, недовольные сотрудники или плохая практика безопасности в организации могут оставлять открытыми личные данные, включая коммерческие секреты и личные данные клиентов.\r\nНапример, потеря конфиденциальных исследований может потенциально обойтись организации в миллионы долларов, лишив ее конкурентных преимуществ. Хотя хакеры крадут данные клиентов и продают их для мошенничества, это создает негативную огласку и общественное недоверие к организации.\r\nБольшинство распространенных атак на сети предназначены для получения доступа к информации, следя за коммуникациями и данными пользователей, а не для нанесения ущерба самой сети.\r\nНо злоумышленники могут навредить больше, чем просто украсть данные. Они могут повредить устройства пользователей или манипулировать системами для получения физического доступа к объектам. Это оставляет имущество организации и членов группы под угрозой причинения вреда.\r\nГрамотные процедуры обеспечения безопасности сети обеспечивают безопасность данных и блокируют уязвимые системы от внешних помех. Это позволяет пользователям сети оставаться в безопасности и сосредоточиться на достижении целей организации.\r\n<span style=\"font-weight: bold;\">Зачем мне нужно формальное образование для запуска компьютерной сети?</span>\r\nДаже начальная настройка систем безопасности может быть трудной. Комплексная система безопасности состоит из множества частей, каждая из которых нуждается в специальных знаниях.\r\nПомимо настройки, каждый аспект безопасности постоянно развивается. Новые технологии создают новые возможности для случайных утечек в системе безопасности, а хакеры используют дыры в безопасности, чтобы нанести ущерб, как только они их обнаружат. Тот, кто отвечает за безопасность сети, должен иметь возможность понимать технические новости и изменения по мере их возникновения, чтобы они могли сразу же реализовать стратегии безопасности.\r\nПравильное обеспечение безопасности вашей сети с использованием последней информации об уязвимостях помогает минимизировать риск успеха атак. Неделя безопасности сообщила, что 44% нарушений в 2014 году произошли от подвигов, которые были 2-4 года.\r\nК сожалению, многие технические аспекты сетевой безопасности выходят за рамки тех, кто принимает решения о найме. Таким образом, лучший способ, которым организация может быть уверена в том, что ее сотрудники по сетевой безопасности способны правильно управлять угрозами, - это нанять персонал с соответствующей квалификацией.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_Network_security.png","alias":"bezopasnost-seti"},"854":{"id":854,"title":"Оркестровка и автоматизация безопасности","description":" SOAR (Security Orchestration, Automation and Response) - это стек решений совместимых программ, которые позволяют организации собирать данные об угрозах безопасности из нескольких источников и реагировать на события безопасности низкого уровня без помощи человека. Цель использования стека SOAR - повысить эффективность операций физической и цифровой безопасности. Термин, который был придуман исследовательской фирмой Gartner, может применяться к совместимым продуктам и услугам, которые помогают определять приоритеты, стандартизировать и автоматизировать функции реагирования на инциденты.\r\nСогласно Gartner, три наиболее важные возможности технологий SOAR:\r\n<ul><li><span style=\"font-style: italic;\">Управление угрозами и уязвимостями:</span> эти технологии поддерживают устранение уязвимостей. Они обеспечивают формализованный рабочий процесс, отчеты и возможности совместной работы.</li><li><span style=\"font-style: italic;\">Реакция на инциденты безопасности:</span> эти технологии поддерживают то, как организация планирует, управляет, отслеживает и координирует реакцию на инциденты безопасности.</li><li><span style=\"font-style: italic;\">Автоматизация операций безопасности:</span> эти технологии поддерживают автоматизацию и согласование рабочих процессов, процессов, выполнения политик и отчетности.</li></ul>\r\nВ то время как и информация о безопасности, и управление событиями (SIEM), и стеки SOAR объединяют соответствующие данные из нескольких источников, службы SOAR интегрируются с более широким спектром внутренних и внешних приложений. Сегодня многие компании используют сервисы SOAR для расширения внутреннего программного обеспечения SIEM. В будущем ожидается, что по мере того, как поставщики SIEM начнут добавлять возможности SOAR к своим услугам, рынок этих двух линейок продуктов будет объединяться.","materialsDescription":" <span style=\"font-weight: bold; \">Что такое SOAR?</span>\r\nРазработанный исследовательской компанией Gartner термин «Оркестровка, автоматизация и реагирование в области безопасности» (SOAR) - это термин, используемый для описания конвергенции трех разных технологических рынков: оркестрация и автоматизация в области безопасности, платформы реагирования на инциденты безопасности (SIRP) и платформы анализа угроз (TIP).\r\nТехнологии SOAR позволяют организациям собирать и объединять огромные объемы данных о безопасности и оповещениях из самых разных источников. Это помогает анализу, проводимому человеком и машиной, а также стандартизации и автоматизации обнаружения и устранения угроз.\r\n<span style=\"font-weight: bold; \">Как SOAR помогает предприятиям преодолевать проблемы безопасности?</span>\r\nПеред лицом постоянно возникающих и разрушительных угроз, нехватки квалифицированного персонала службы безопасности и необходимости управлять растущим ИТ-ресурсом и контролировать его, SOAR помогает компаниям любого размера улучшить их способность быстро обнаруживать атаки и реагировать на них. Это поддерживает потребности в кибербезопасности путем:\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">1. Обеспечение лучшего качества интеллекта</span></span>\r\nБорьба с новейшими изощренными угрозами кибербезопасности требует глубокого понимания тактики, методов и процедур злоумышленников (TTP) и умения выявлять признаки компрометации (IOC). Благодаря агрегированию и проверке данных из широкого спектра источников, включая платформы для анализа угроз, обмены и технологии безопасности, такие как брандмауэры, системы обнаружения вторжений, технологии SIEM и UEBA, SOAR помогает SOC стать более интеллектуальными. Результатом этого является то, что сотрудники службы безопасности могут контекстуализировать инциденты, принимать более обоснованные решения и ускорять обнаружение инцидентов и реагирование на них.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">2. Повышение эффективности и результативности операций</span></span>\r\nНеобходимость управлять таким количеством разрозненных технологий безопасности может создать огромную нагрузку для сотрудников службы безопасности. Мало того, что системы нуждаются в постоянном мониторинге, чтобы гарантировать их постоянное состояние и работоспособность, но и тысячи ежедневных сигналов тревоги, которые они генерируют, также могут привести к усталости. Постоянное переключение между несколькими системами только усугубляет ситуацию, отнимает у команд время и усилия, а также повышает риск допущенных ошибок.\r\nРешения SOAR помогают CSOC автоматизировать и полуавтоматизировать некоторые повседневные и повседневные задачи операций безопасности. Представляя интеллектуальные возможности и средства управления через единую стеклянную панель и используя ИИ и машинное обучение, инструменты SOAR могут значительно сократить необходимость для групп SOC выполнять «переключение контекста». Это также может помочь обеспечить более эффективное управление процессами и повысить производительность и способность организаций обрабатывать больше инцидентов без необходимости нанимать больше персонала. Основная цель SOAR - помочь сотрудникам службы безопасности работать умнее, а не усерднее.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">3. Улучшение реагирования на инциденты</span></span>\r\nЧтобы минимизировать риск нарушений и ограничить огромный ущерб и разрушения, которые они могут нанести, быстрое реагирование жизненно важно. SOAR помогает организации сократить среднее время обнаружения (MTTD) и среднее время ответа (MTTR), позволяя обрабатывать предупреждения безопасности в считанные минуты, а не дни, недели и месяцы.\r\nSOAR также позволяет командам безопасности автоматизировать процедуры реагирования на инциденты (известные как игровые книги). Автоматические ответы могут включать блокировку IP-адреса в брандмауэре или системе IDS, приостановку учетных записей пользователей или изоляцию зараженных конечных точек из сети.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">4. Улучшает отчетность и сбор знаний</span></span>\r\nВо многих операционных центрах кибербезопасности работники на переднем крае могут потратить непропорционально много времени на управление делами, ведение журнала, создание отчетов и документирование процедур реагирования на инциденты. Собирая сведения из широкого спектра источников и представляя эту информацию с помощью визуальных настраиваемых информационных панелей, SOAR может помочь организациям сократить объем бумажной работы.\r\nАвтоматизируя задачи и процедуры, SOAR также помогает систематизировать знания и избежать потери институциональной памяти; то, что может случиться слишком легко, учитывая трудности, с которыми сталкиваются организации при сохранении таланта в области безопасности.\r\n<span style=\"font-weight: bold;\">Каковы преимущества использования автоматизации и оркестровки?</span>\r\nАвтоматизация и оркестровка позволяют запускать автоматические действия, такие как события playbook и runbook, которые могут выполняться машиной быстрее, чем человеком. Часто это повторяющиеся базовые, трудоемкие и обыденные задачи. Это позволяет быстрее реагировать на инциденты, сокращая общее время до сдерживания или устранения угрозы.\r\nСледовательно, внедрение автоматизации и оркестрации позволяет аналитикам по безопасности тратить свое драгоценное время на работу с более сложными и высокоуровневыми угрозами, которые требуют определенного уровня вмешательства со стороны человека, или даже осуществления инициатив по поиску угроз до того, как будет инициировано предупреждение. Используя автоматизацию и оркестровку, процессы могут не только стать более стандартизированными и эффективными, но и легко обмениваться знаниями и документацией между командой или группами внутри организации, что позволяет компаниям делать больше с меньшими ресурсами.","iconURL":"https://roi4cio.com/fileadmin/user_upload/automation-engineering-management-computer-icons.png","alias":"orkestrovka-i-avtomatizacija-bezopasnosti"}},"branches":"ИТ","companySizes":"1 до 50 Cотрудников","companyUrl":"https://alphasoc.com/","countryCodes":["POL","USA"],"certifications":[],"isSeller":true,"isSupplier":true,"isVendor":true,"presenterCodeLng":"","seo":{"title":"AlphaSOC","keywords":"","description":"Сотни групп безопасности используют <b>AlphaSOC</b> Analytics Engine для обнаружения зараженных хостов и возникающих угроз. AlphaSOC обрабатывает сетевую телеметрию и выполняет глубокий анализ и оповещает о подозрительных событиях, выявляя новые и неизвестные ","og:title":"AlphaSOC","og:description":"Сотни групп безопасности используют <b>AlphaSOC</b> Analytics Engine для обнаружения зараженных хостов и возникающих угроз. AlphaSOC обрабатывает сетевую телеметрию и выполняет глубокий анализ и оповещает о подозрительных событиях, выявляя новые и неизвестные ","og:image":"https://roi4cio.com/uploads/roi/company/alphasoc.png"},"eventUrl":"","vendorPartners":[],"supplierPartners":[],"vendoredProducts":[{"id":3672,"logoURL":"https://roi4cio.com/fileadmin/user_upload/alphasoc.png","logo":true,"scheme":false,"title":"ALPHASOC Network Behavior Analytics for Splunk","vendorVerified":0,"rating":"0.00","implementationsCount":0,"suppliersCount":0,"supplierPartnersCount":0,"alias":"alphasoc-network-behavior-analytics-for-splunk","companyTitle":"AlphaSOC","companyTypes":["supplier","vendor"],"companyId":5886,"companyAlias":"alphasoc","description":"Наше приложение для Splunk мгновенно оценивает сетевые журналы для выявления новых угроз и аномалий в сетях. Пользователи, которые не пользуются Splunk, могут получить доступ нашему к API и создавать собственные интеграции с помощью нашего SDK.\r\nИспользуйте <b>Network Behavior Analytics for Splunk</b> для быстрого обнаружения зараженных хостов и угроз вашей среде. Приложение Splunk обрабатывает и отправляет сетевую телеметрию (CIM-совместимые события DNS, IP и HTTP) в AlphaSOC Analytics Engine для оценки и извлекает предупреждения безопасности и данные для расследования.\r\n<b>The AlphaSOC Analytics Engine выполняет глубокие исследование материала, такие как:</b>\r\n<ul> <li>Объемный и количественный анализ (подсчет событий, выявление закономерностей)</li> <li>Разрешение полных доменных имен и доменов для сбора контекста (определение провалов и значений ASN)</li> <li>Разбивка и анализ каждой метки полного доменного имени (имя хоста, домен, TLD)</li> <li>Сбор данных о репутации (например, WHOIS и образцы вредоносных программ)</li> <li>Категоризация трафика на основе известных шаблонов (например, C2, P2P, VPN, cryptomining)</li> </ul>\r\n<b>Конкретные варианты использования, включают в себя:</b>\r\n<ul> <li>Раскрытие обратных вызовов C2 и трафика на известные провалы</li> <li>Идентификация анонимных каналов Tor, I2P и Freenet</li> <li>Обнаружение незаконного криптомайнинга</li> <li>Обнаружение трафика на известные фишинговые домены</li> <li>Обнаружение фейковых брендов с помощью гомоглифов и транспозиций Unicode</li> <li>Обнаружение нескольких запросов на домены DGA с указанием заражения</li> <li>DNS и ICMP туннелирование и обнаружение эксфильтрации</li> <li>Активное сканирование сети</li> <li>Обнаружение нарушений правил (например, использование сторонних VPN и P2P)</li> </ul>","shortDescription":"Нашим аналитическим инструментам доверяют сотни предприятий в вопросах предоставления четких и точных предупреждений командам безопасности","type":null,"isRoiCalculatorAvaliable":false,"isConfiguratorAvaliable":false,"bonus":100,"usingCount":16,"sellingCount":2,"discontinued":0,"rebateForPoc":0,"rebate":0,"seo":{"title":"ALPHASOC Network Behavior Analytics for Splunk","keywords":"","description":"Наше приложение для Splunk мгновенно оценивает сетевые журналы для выявления новых угроз и аномалий в сетях. Пользователи, которые не пользуются Splunk, могут получить доступ нашему к API и создавать собственные интеграции с помощью нашего SDK.\r\nИспользуйте <","og:title":"ALPHASOC Network Behavior Analytics for Splunk","og:description":"Наше приложение для Splunk мгновенно оценивает сетевые журналы для выявления новых угроз и аномалий в сетях. Пользователи, которые не пользуются Splunk, могут получить доступ нашему к API и создавать собственные интеграции с помощью нашего SDK.\r\nИспользуйте <","og:image":"https://roi4cio.com/fileadmin/user_upload/alphasoc.png"},"eventUrl":"","translationId":3672,"dealDetails":null,"roi":null,"price":null,"bonusForReference":null,"templateData":[],"testingArea":"","categories":[{"id":838,"title":"Обнаружение и реагирование на угрозы на конечных устройствах","alias":"obnaruzhenie-i-reagirovanie-na-ugrozy-na-konechnykh-ustroistvakh","description":"Обнаружение и реагирование на конечные точки (EDR) - это технология кибер-безопасности, которая предназначена для постоянного мониторинга и реагирования на сложные угрозы. Это подмножество технологий безопасности конечных точек и критическая часть оптимального состояния безопасности. EDR отличается от других платформ защиты конечных точек (EPP), таких как антивирус (AV) и защита от вредоносных программ, тем, что его основной задачей не является автоматическое прекращение угроз на предварительном этапе на конечной точке. Скорее EDR нацелена на обеспечение правильной видимости конечной точки с правильной информацией, чтобы помочь аналитикам безопасности обнаруживать, расследовать и реагировать на очень сложные угрозы и более широкие кампании атак, охватывающие несколько конечных точек.\r\nВ то время как организации малого и среднего бизнеса все чаще обращаются к технологии EDR для более совершенной защиты конечных точек, многим не хватает ресурсов, чтобы максимизировать преимущества этой технологии. Использование передовых функций EDR, таких как криминалистический анализ, поведенческий мониторинг и искусственный интеллект (ИИ), является трудоемким и ресурсоемким процессом, требующим внимания преданных специалистов по безопасности.\r\nУправляемый сервис безопасности конечных точек сочетает в себе новейшие технологии, круглосуточную команду сертифицированных CSOC экспертов и новейшие отраслевые аналитические данные для рентабельной ежемесячной подписки. Управляемые сервисы могут помочь снизить ежедневную нагрузку по мониторингу и реагированию на предупреждения, улучшить управляемость и автоматизацию безопасности (SOAR) и улучшить поиск угроз и реагирование на инциденты.","materialsDescription":" <span style=\"font-weight: bold; \">Что такое Обнаружение и реагирование на угрозы на конечных устройствах?</span>\r\nОбнаружение и реагирование угроз на конечных устройствах (EDR) - это новая технология, которая решает проблему постоянного мониторинга и реагирования на сложные угрозы. Можно даже утверждать, что обнаружение угроз и реагирование на них являются одной из форм расширенной защиты от угроз.\r\n<span style=\"font-weight: bold; \">Каковы основные аспекты безопасности EDR?</span>\r\nСогласно Gartner, эффективный EDR должен обладать следующими возможностями:\r\n<ul><li>Поиск и расследование происшествий</li><li>Проверка оповещения или подозрительной активности</li><li> Обнаружение подозрительной активности</li><li>Поиск угроз или исследование данных</li><li>Прекращение злонамеренной деятельности</li></ul>\r\n<span style=\"font-weight: bold; \">Чем полезно решение EDR?</span>\r\nПонимание ключевых аспектов EDR и их важности поможет вам лучше понять, что искать в решении. Важно найти программное обеспечение EDR, которое может обеспечить высочайший уровень защиты, при этом требуя наименьших усилий и вложений - добавляя ценность вашей команде безопасности, не истощая ресурсы. Вот шесть ключевых аспектов EDR, которыми вы должны интересоваться:\r\n<span style=\"font-weight: bold; \">1. Видимость:</span> Видимость в реальном времени всех ваших конечных точек позволяет вам видеть действия злоумышленников, даже если они пытаются вас взломать, и немедленно останавливать их.\r\n<span style=\"font-weight: bold; \">2. База данных угроз:</span> Эффективный EDR требует огромного количества телеметрии, собранной с конечных точек и обогащенной контекстом, чтобы с помощью различных аналитических методов её можно было использовать для определения признаков атаки.\r\n<span style=\"font-weight: bold; \">3. Поведенческая защита:</span> Расчет исключительно на сигнатурные методы или индикаторы компрометации (IOCs), может привести к «тихому отказу», который допускает утечку данных. Эффективный EDR требует поведенческих подходов, которые включают индикаторы атаки (IOA), поэтому вы будете предупреждены о подозрительных действиях, прежде чем может произойти компрометация.\r\n<span style=\"font-weight: bold; \">4. Проницательность и разведка:</span> Решение EDR, которое интегрирует разведку угроз, может предоставить контекст, включая сведения о противнике, который атакует вас, или другую информацию об атаке.\r\n<span style=\"font-weight: bold; \">5. Быстрая реакция:</span> EDR, обеспечивающий быстрое и точное реагирование на инциденты, может остановить атаку, прежде чем она достигнет цели, и позволит вашей организации быстро вернуться к бизнес задачам.","iconURL":"https://roi4cio.com/fileadmin/user_upload/hgghghg.png"},{"id":40,"title":"Защита конечных устройств","alias":"zashchita-konechnykh-ustroistv","description":"В сетевой безопасности безопасность конечных точек относится к методологии защиты корпоративной сети при доступе через удаленные устройства, такие как ноутбуки или другие беспроводные и мобильные устройства. Каждое устройство с удаленным подключением к сети создает потенциальную точку входа для угроз безопасности. Безопасность конечных точек предназначена для защиты каждой конечной точки в сети, созданной этими устройствами.\r\nОбычно безопасность конечных точек - это система, которая состоит из программного обеспечения безопасности, расположенного на центрально управляемом и доступном сервере или шлюзе в сети, в дополнение к клиентскому программному обеспечению, устанавливаемому на каждой из конечных точек (или устройств). Сервер аутентифицирует логины с конечных точек, а также обновляет программное обеспечение устройства при необходимости. Хотя программное обеспечение для обеспечения безопасности конечных точек различается в зависимости от поставщика, можно ожидать, что большинство предложений программного обеспечения будут содержать антивирус, антишпионское ПО, брандмауэр, а также систему предотвращения вторжений на хост (HIPS).\r\nБезопасность конечных точек становится все более распространенной функцией безопасности ИТ, поскольку все больше сотрудников привлекают к работе мобильные устройства потребителей, а компании разрешают своим мобильным сотрудникам использовать эти устройства в корпоративной сети.","materialsDescription":"<span style=\"font-weight: bold; \">Что такое конечные точки?</span>\r\nЛюбое устройство, которое может подключаться к центральной сети предприятия, считается конечной точкой. Конечные точки являются потенциальными местами проникновения вредоносных программ и нуждаются в надежной защите, так как они — это часто самое слабое звено сетевой безопасности.\r\n<span style=\"font-weight: bold; \">Что такое управление защитой конечных точек?</span>\r\nНабор правил, определяющих уровень безопасности, которому должно соответствовать каждое устройство, подключенное к сети предприятия. Эти правила могут предусматривать использование одобренной операционной системы (ОС), установку виртуальной частной сети (VPN) или использование современного антивирусного программного обеспечения. Если подключающееся к сети устройство не имеет требуемого уровня защиты, может использоваться гостевая сеть с ограниченным доступом.\r\n<span style=\"font-weight: bold; \">Что такое программное обеспечение для защиты конечных точек?</span>\r\nПрограммы, которые обеспечивают защиту ваших устройств. Программное обеспечение для защиты конечных точек может быть облачным и работать как SaaS (программное обеспечение как услуга). Его также может установить как отдельное приложение на каждом устройстве.\r\n<span style=\"font-weight: bold;\">Что такое Endpoint Detection and Response (EDR)?</span>\r\nРешения по защите конечных точек от угроз (Endpoint Detection and Response или EDR) анализируют файлы и программы и сообщают о найденных угрозах. Решения EDR постоянно отслеживают сложные угрозы, помогая выявлять атаки на раннем этапе и быстро на них реагировать.\r\n<span style=\"font-weight: bold;\">Что такое EPP (Endpoint Protection Platform)?</span>\r\nEPP (Endpoint Protection Platform) — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Комплексная защита рабочей станции, включающая классический антивирус, расширенные технологии безопасности (персональный межсетевой экран, система предотвращения вторжений, контроль приложений, управление cъемными носителями и др.) и инструменты расследования и восстановления.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_Endpoint_security.png"},{"id":45,"title":"SIEM - управление информацией и событиями в системе безопасности","alias":"siem-upravlenie-informaciei-i-sobytijami-v-sisteme-bezopasnosti","description":"SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.\r\nТехнология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.\r\nС растущим объемом информации, которая обрабатывается и передается между различными информационными системами (ИС), организации и отдельные пользователи все больше зависят от непрерывности и корректности выполнения данных процессов. Для реагирования на угрозы безопасности в ИС необходимо иметь инструменты, позволяющие анализировать в реальном времени происходящие события, число которых только растет. Одним из решений данной проблемы является использование SIEM-систем. Основополагающий принцип системы SIEM заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности. SIEM представляет собой объединение систем управления информационной безопасностью (SIM) и управления событиями безопасности (SEM) в единую систему управления безопасностью. Сегмент SIM, в основном, отвечает за анализ исторических данных, стараясь улучшить долгосрочную эффективность системы и оптимизировать хранение исторических данных. Сегмент SEM, напротив, делает акцент на выгрузке из имеющихся данных определенного объема информации, с помощью которого могут быть немедленно выявлены инциденты безопасности. По мере роста потребностей в дополнительных возможностях непрерывно расширяется и дополняется функциональность данной категории продуктов.\r\nОдной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме.\r\nУпреждающее управление инцидентами и событиями безопасности заключается в принятии решений еще до того, как ситуация станет критической. Такое управление может осуществляться с использованием автоматических механизмов, которые прогнозируют будущие события на основе исторических данных, а также автоматической подстройки параметров мониторинга событий к конкретному состоянию системы.\r\nSIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.\r\nПонятие управление событиями информационной безопасности (SIEM), введенное Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 г., описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, службами каталогов и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты","materialsDescription":" <span style=\"font-weight: bold; \">Что такое SIEM?</span>\r\nSIEM начинался как объединение двух разных решений кибербезопасности: Управление событиями безопасности (SEM) и Управление информацией о безопасности (SIM).\r\nSEM служил инструментом управления угрозами, предназначенным главным образом для борьбы с угрозами в более ранних сетевых средах и поддержки реагирования на инциденты. Между тем, SIM предлагает управление журналами, исторический анализ и криминалистические возможности.\r\nДругими словами, SIEM объединяет возможности SEM и SIM в одно решение для предприятий.\r\n<span style=\"font-weight: bold; \">Отличается ли SIEM от управления журналами?</span>\r\nРешения по управлению журналами (LEM) позволяют предприятиям отслеживать действия пользователей и обрабатывать огромные объемы данных. Большинство решений SIEM предлагают управление журналами в качестве одной из своих ключевых возможностей, хотя SIEM также предлагает предупреждения безопасности, обнаружение угроз, устранение угроз и корреляцию событий безопасности, необходимых для кибербезопасности.\r\nУправление журналом само по себе недостаточно для обеспечения вашей максимальной защиты от кибербезопасности, хотя это важно для обеспечения соответствия нормативным требованиям во многих случаях использования.\r\n<span style=\"font-weight: bold; \">Какие ключевые возможности в SIEM?</span>\r\nКонечно, ни один список вопросов SIEM не будет полным, если не вдаваться в ключевые возможности решения. Хотя упрощение может представлять опасность для более полного понимания, мы можем разбить ключевые возможности SIEM на три категории компонентов: управление журналами, обнаружение угроз и соответствие требованиям.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">Податливость</span></span>\r\nРаннее внедрение SIEM обусловлено необходимостью соблюдения требований крупными предприятиями. Однако почти любое предприятие в любой отрасли должно соответствовать определенным нормативным требованиям, будь то государственное или промышленное; потребность в SIEM, безусловно, возросла в последние годы.\r\nОбработка и компиляция данных SIEM позволяют легко выполнять отчеты о соответствии. Фактически, SIEM может помочь вашему предприятию в реализации таких важных инициатив, как HIPAA.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">Управление журналами</span></span>\r\nКак описано выше, управление журналами предоставляет предприятиям архитектуру для обработки огромных объемов данных. Эта, казалось бы, простая задача предлагает огромные преимущества вашей ИТ-команде.\r\nНапример, ваша команда может выполнить нормализацию данных, позволяя им адекватно анализировать данные из разнородных источников по всей сети без хлопот. Кроме того, они могут сопоставлять события безопасности из этих разрозненных областей сети, что позволяет им быстро определять шаблоны, указывающие на угрозу.\r\nКроме того, управление журналами предоставляет функции корпоративного поиска (в идеале, с несколькими вариантами запросов, фильтрами и параметрами классификации). Он также должен учитывать функции хранения, сохранения, сжатия, шифрования и архивирования данных.\r\n<span style=\"font-weight: bold; \"><span style=\"font-style: italic; \">Обнаружение угрозы</span></span>\r\nКонечно, SIEM помогает предприятиям улучшить обнаружение угроз, улучшая видимость своей сети. Основное правило в кибербезопасности - вы не можете защитить то, что не видите.\r\nКроме того, SIEM может подключить ваше предприятие к различным источникам информации об угрозах, которые дополняют ваше обнаружение и реагирование. Возможности обнаружения угроз позволяют предприятиям обнаруживать цифровые угрозы в своих сетях. Они сокращают время ожидания злоумышленника, предотвращают компрометацию личных данных, сокращают затраты на восстановление и повышают доверие клиентов.\r\n<span style=\"font-weight: bold; \">SIEM подходит только для крупного предприятия?</span>\r\nСреди наиболее актуальных вопросов SIEM для малого и среднего бизнеса. Когда-то это могло быть правдой, что только крупные компании могли извлечь выгоду из SIEM. Но из-за того, что парадигма кибербезопасности меняется так быстро, малым и средним предприятиям также нужна SIEM.<br />Однако лицам, принимающим решения в области ИТ на вашем предприятии, следует потратить время на изучение различных решений SIEM, чтобы убедиться, что их возможности соответствуют вашему корпоративному варианту использования. Некоторые решения SIEM могут оказаться более подходящими для вашей отрасли или размера вашего бизнеса.\r\nС другой стороны, если вы SMB, вы также можете убедиться, что ваше решение SIEM может масштабироваться, если и когда ваш бизнес будет расти.\r\n<span style=\"font-weight: bold; \">Как мне развернуть решение SIEM?</span>\r\nТщательно и осознанно. SIEM может оказаться трудным для правильного развертывания, если вы попытаетесь использовать SIEM везде в своей сети одновременно. Кроме того, это может вызвать серьезные проблемы с внедрением и возможные проблемы с интеграцией, что приведет к перегрузке вашей ИТ-команды.<br />Поэтому вы должны отдавать приоритет развертыванию вашего решения SIEM. Выберите наиболее ценные, ценные и конфиденциальные базы данных и сначала разверните решение там. Следите за тем, как решение соответствует вашей корпоративной сети, и определите, где корректировки могут оказаться необходимыми. С этого момента развертывание в остальных ваших базах данных не должно быть такой сложной задачей.\r\n<span style=\"font-weight: bold;\">Что потребуется SIEM?</span>\r\nМногие предприятия задают вопросы SIEM, но немногие не забывают спрашивать об этом.<br />Вся кибербезопасность - это улица с двусторонним движением. Правильное решение абсолютно составляет половину уравнения. Однако для другой половины ваша команда ИТ-безопасности и ваши сотрудники должны участвовать в ее оптимальной производительности.\r\nSIEM требует хороших правил корреляции для своих предупреждений безопасности; ваша группа ИТ-безопасности должна регулярно отслеживать и обновлять эти правила корреляции. Кроме того, вам необходимо убедиться, что ваше решение SIEM интегрируется с другими вашими решениями кибербезопасности; проблема интеграции может привести к увеличению затрат и брешей в безопасности.<br />Но помимо этого, ваши сотрудники должны использовать лучшие практики кибербезопасности. Регулярное обучение кибербезопасности должно стать основной частью программ развития навыков ваших сотрудников.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_SIEM.png"},{"id":204,"title":"Обнаружение угроз и реагирование","alias":"obnaruzhenie-ugroz-i-reagirovanie","description":"MDR, что означает "Managed Detection and Response" («Обнаружение угроз и реагирование»), представляет собой всеобъемлющую систему обнаружения угроз, которая возникла из-за потребности малых и средних организаций, которым не хватает ресурсов, чтобы иметь возможность самостоятельно контролировать свои сетевые системы. Это обеспечивает экономически эффективную альтернативу SIEM (информация о безопасности и управление событиями).\r\nКаждый день возможности злоумышленников становятся все более изощренными, а объем предупреждений становится огромным и неуправляемым. Внутренние группы могут изо всех сил пытаться анализировать и регистрировать данные, что затрудняет, как никогда ранее, определение того, являются ли эти угрозы вредными. MDR может остановить атаки еще до того, как они произойдут. Технология MDR контролирует ваши системы и выявляет любые необычные действия, в то время как наша команда экспертов реагирует на угрозы, обнаруженные в вашем бизнесе.\r\nMDR предлагает анализ угроз в реальном времени и способен анализировать поведение, которое может быть пропущено при использовании традиционных технологий безопасности конечных точек. MDR также обеспечивает быструю идентификацию известных угроз, что, в свою очередь, сводит к минимуму общие атаки. Дистанционное расследование инцидентов сведет к минимуму ущерб вашему бизнесу и позволит вам быстро вернуться к работе. Важно отметить, что использование услуг MDR позволит третьим лицам получить доступ к данным вашей компании. Вам нужно подумать о работе с поставщиком, который понимает и уважает вашу политику в отношении данных.","materialsDescription":"<span style=\"font-weight: bold;\"> Что такое управляемое обнаружение и реагирование?</span>\r\nУправляемое обнаружение и реагирование (MDR) - это управляемая служба кибербезопасности, которая обеспечивает обнаружение вторжений вредоносных программ и действий в вашей сети и помогает быстро реагировать на инциденты для устранения этих угроз с помощью кратких действий по исправлению. MDR обычно объединяет технологическое решение с внешними аналитиками безопасности, которые расширяют ваши технологии и команду.\r\n<span style=\"font-weight: bold;\">Разве это не то, что делают MSSP или управляемые SIEM?</span>\r\nНет. Поставщики услуг управляемой безопасности (MSSP) контролируют меры безопасности сети и могут отправлять оповещения при обнаружении аномалий. MSSP обычно не исследуют аномалии для устранения ложных срабатываний и не реагируют на реальные угрозы. Это означает, что отклонения в использовании сети передаются вашему ИТ-персоналу, который затем должен просмотреть данные, чтобы определить, существует ли реальная угроза и что с этим делать.\r\n<span style=\"font-weight: bold;\">Мой брандмауэр не защищает мою сеть?</span>\r\nМежсетевые экраны и другие превентивные формы кибербезопасности очень важны и эффективны для предотвращения основных кибератак. Однако за последнее десятилетие стало ясно, что превентивных технологий кибербезопасности недостаточно для защиты сети организации. Кроме того, они являются еще одним источником предупреждений, сообщений журнала и событий, которые способствуют «усталости от предупреждений», от которой сегодня повсеместно страдают. Последние крупные взломы, такие как Marriot Hack от 2018 года, Anthem Hack от 2015 года и Target Hack от 2013 года, демонстрируют, как легко киберпреступники могут взломать сети в корпоративных организациях, чтобы украсть миллионы номеров кредитных карт, медицинских карт и других форм PII/PHI.","iconURL":"https://roi4cio.com/fileadmin/user_upload/Endpoint_Detection_and_Response.png"},{"id":467,"title":"Сетевая экспертиза","alias":"setevaja-ehkspertiza","description":" Компьютерно-сетевая экспертиза представляет собой один из видов компьютерно-технических исследований. Данный вид анализа во многом схож с программно-компьютерной экспертизой, однако фокус экспертного внимания смещен на исследование сетевой работы пользователя. То есть анализируется, в первую очередь, действия человека, произведенные посредством компьютерных сетей. Для проведения компьютерно-сетевой экспертизы эксперт должен обладать специальными познаниями в области сетевых технологий, чтобы эффективно отслеживать движение информационных пакетов посредством изучения информационного следа. Знание принципов работы сетей позволяет соединить в общую доказательную базу все разрозненные объекты, полученные в ходе расследования, а также сведения о них. Вследствие чего наиболее эффективно решаются поставленные экспертные задачи.\r\nКомпьютерно-сетевая экспертиза в первую очередь рассматривает функциональную принадлежность компьютерных систем, реализующих сетевые технологии. Чаще всего с помощью данного исследования получаются доказательства по делам, связанным с интернет-технологиями. Предметом исследования являются информационно-компьютерные сети и обнаруживаемые следы сетевой активности пользователя. В ходе расследования преступлений, совершенных с использованием сети интернет, при отсутствии возможности получить доступ к компьютеру правонарушителя, получить доказательства можно с помощью исследования информационных следов в сети. В таких случаях используется компьютерно-сетевая экспертиза.\r\nДанный вид исследований применяется не только при расследовании различных преступлений. Компьютерно-сетевая экспертиза способна проанализировать эффективность работы сетевой системы, определить возможность внесения изменений в рабочий процесс системы, предложить пути модернизации организованной сетевой системы путем обновления компонент системы или организации более четкой архитектуры ее работы. Во многих случаях, исследование одного персонального компьютера или даже многих компьютеров по отдельности не дает должного результата, так как при сетевой организации работы данные хранятся распределенным образом, а многие рабочие процессы организованы с использованием сетевых технологий.\r\nКруг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы.","materialsDescription":"<span style=\"font-weight: bold; \">Какие задачи решает компьютерно-сетевая экспертиза?</span>\r\nКруг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы. В общем случае эксперт по проведению компьютерно-сетевой экспертизы в процессе своей деятельности решает следующие задачи:\r\n<ul><li>Выявление связей между применением конкретных сетевых объектов и результатами их работы.</li><li>Исследование событий, имевших место в сети – установление его обстоятельств и механизма действия, исходя из полученных результатов. Например, исследуются пути распыления по сети вредоносных программ, сценарии нерегламентированного доступа к данным и системам и так далее.</li><li>Исследование отображений сети в информационных блоках накопителей данных с целью выявления свойств и состояния исследуемой сети. Анализируются жесткие диски, компакт-диски, внешние накопители данных (флэшки, внешние диски и пр.), дискеты, RAID-массивы и так далее.</li><li>Выявление механизма изменения свойств исследуемой сети, а также причин данного изменения.</li><li>Установление фактов несоблюдения предписанного режима использования сети, выявление использования недопустимого или запрещенного программного обеспечения.</li><li>Определение исходного состояния все исследуемой сети, а также каждого ее компонента по отдельности. Выявление изменений, внесенных в начальное состояние компьютерной сетевой системы – были ли добавлены дополнительные сетевые устройства, изменена ли конфигурация сервера или рабочих мест и так далее.</li><li>Установление текущего состояния сетевой системы или сетевого программного или аппаратного средства. Выявление физических дефектов аппаратных средств; определение компонент доступа в сеть и состояния журнала системных событий.</li><li>Определение специфических характеристик сетевой системы, определение ее конфигурации, типа устройства архитектуры. Установление механизма организации доступа к массивам данных, а также установленных сетевых программно-аппаратных средств.</li><li>Установление факта соответствия обнаруженных характеристик и характеристик, являющихся типовыми для подобных сетевых систем.</li><li>Определение принадлежности исследуемого объекта к клиентской или серверной части сетевой системы.</li><li>Определение специфических характеристик отдельных компонент сетевой системы – программных объектов и аппаратных средств. Определение функционального предназначения, роли и места анализируемого объекта в сетевой системе.</li></ul>\r\n<span style=\"font-weight: bold;\">Почему важна криминалистика сети?</span>\r\nСетевая криминалистика важна, потому что очень много распространенных атак влечет за собой некоторый тип неправильного использования сетевых ресурсов.\r\n<span style=\"font-weight: bold;\">Как можно атаковать сеть?</span>\r\nАтаки обычно нацелены на конфиденциальность и целостность доступности. Утрата любого из этих предметов является нарушением безопасности.\r\n<span style=\"font-weight: bold;\">Где лучшее место для поиска информации?</span>\r\nИнформацию можно найти, выполнив живой анализ сети, проанализировав информацию IDS или изучив журналы, которые можно найти на маршрутизаторах и серверах.\r\n<span style=\"font-weight: bold;\">Как судебный аналитик знает, как глубоко искать информацию?</span>\r\nНекоторое количество информации может быть получено при просмотре уровня квалификации атакующего. Атакующие с небольшим навыком гораздо реже используют передовые методы сокрытия.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_Network_Forensics.png"}],"characteristics":[],"concurentProducts":[],"jobRoles":[],"organizationalFeatures":[],"complementaryCategories":[],"solutions":[],"materials":[],"useCases":[],"best_practices":[],"values":[],"implementations":[]}],"suppliedProducts":[{"id":3672,"logoURL":"https://roi4cio.com/fileadmin/user_upload/alphasoc.png","logo":true,"scheme":false,"title":"ALPHASOC Network Behavior Analytics for Splunk","vendorVerified":0,"rating":"0.00","implementationsCount":0,"suppliersCount":0,"supplierPartnersCount":0,"alias":"alphasoc-network-behavior-analytics-for-splunk","companyTitle":"AlphaSOC","companyTypes":["supplier","vendor"],"companyId":5886,"companyAlias":"alphasoc","description":"Наше приложение для Splunk мгновенно оценивает сетевые журналы для выявления новых угроз и аномалий в сетях. Пользователи, которые не пользуются Splunk, могут получить доступ нашему к API и создавать собственные интеграции с помощью нашего SDK.\r\nИспользуйте <b>Network Behavior Analytics for Splunk</b> для быстрого обнаружения зараженных хостов и угроз вашей среде. Приложение Splunk обрабатывает и отправляет сетевую телеметрию (CIM-совместимые события DNS, IP и HTTP) в AlphaSOC Analytics Engine для оценки и извлекает предупреждения безопасности и данные для расследования.\r\n<b>The AlphaSOC Analytics Engine выполняет глубокие исследование материала, такие как:</b>\r\n<ul> <li>Объемный и количественный анализ (подсчет событий, выявление закономерностей)</li> <li>Разрешение полных доменных имен и доменов для сбора контекста (определение провалов и значений ASN)</li> <li>Разбивка и анализ каждой метки полного доменного имени (имя хоста, домен, TLD)</li> <li>Сбор данных о репутации (например, WHOIS и образцы вредоносных программ)</li> <li>Категоризация трафика на основе известных шаблонов (например, C2, P2P, VPN, cryptomining)</li> </ul>\r\n<b>Конкретные варианты использования, включают в себя:</b>\r\n<ul> <li>Раскрытие обратных вызовов C2 и трафика на известные провалы</li> <li>Идентификация анонимных каналов Tor, I2P и Freenet</li> <li>Обнаружение незаконного криптомайнинга</li> <li>Обнаружение трафика на известные фишинговые домены</li> <li>Обнаружение фейковых брендов с помощью гомоглифов и транспозиций Unicode</li> <li>Обнаружение нескольких запросов на домены DGA с указанием заражения</li> <li>DNS и ICMP туннелирование и обнаружение эксфильтрации</li> <li>Активное сканирование сети</li> <li>Обнаружение нарушений правил (например, использование сторонних VPN и P2P)</li> </ul>","shortDescription":"Нашим аналитическим инструментам доверяют сотни предприятий в вопросах предоставления четких и точных предупреждений командам безопасности","type":null,"isRoiCalculatorAvaliable":false,"isConfiguratorAvaliable":false,"bonus":100,"usingCount":16,"sellingCount":2,"discontinued":0,"rebateForPoc":0,"rebate":0,"seo":{"title":"ALPHASOC Network Behavior Analytics for Splunk","keywords":"","description":"Наше приложение для Splunk мгновенно оценивает сетевые журналы для выявления новых угроз и аномалий в сетях. Пользователи, которые не пользуются Splunk, могут получить доступ нашему к API и создавать собственные интеграции с помощью нашего SDK.\r\nИспользуйте <","og:title":"ALPHASOC Network Behavior Analytics for Splunk","og:description":"Наше приложение для Splunk мгновенно оценивает сетевые журналы для выявления новых угроз и аномалий в сетях. Пользователи, которые не пользуются Splunk, могут получить доступ нашему к API и создавать собственные интеграции с помощью нашего SDK.\r\nИспользуйте <","og:image":"https://roi4cio.com/fileadmin/user_upload/alphasoc.png"},"eventUrl":"","translationId":3672,"dealDetails":null,"roi":null,"price":null,"bonusForReference":null,"templateData":[],"testingArea":"","categories":[{"id":838,"title":"Обнаружение и реагирование на угрозы на конечных устройствах","alias":"obnaruzhenie-i-reagirovanie-na-ugrozy-na-konechnykh-ustroistvakh","description":"Обнаружение и реагирование на конечные точки (EDR) - это технология кибер-безопасности, которая предназначена для постоянного мониторинга и реагирования на сложные угрозы. Это подмножество технологий безопасности конечных точек и критическая часть оптимального состояния безопасности. EDR отличается от других платформ защиты конечных точек (EPP), таких как антивирус (AV) и защита от вредоносных программ, тем, что его основной задачей не является автоматическое прекращение угроз на предварительном этапе на конечной точке. Скорее EDR нацелена на обеспечение правильной видимости конечной точки с правильной информацией, чтобы помочь аналитикам безопасности обнаруживать, расследовать и реагировать на очень сложные угрозы и более широкие кампании атак, охватывающие несколько конечных точек.\r\nВ то время как организации малого и среднего бизнеса все чаще обращаются к технологии EDR для более совершенной защиты конечных точек, многим не хватает ресурсов, чтобы максимизировать преимущества этой технологии. Использование передовых функций EDR, таких как криминалистический анализ, поведенческий мониторинг и искусственный интеллект (ИИ), является трудоемким и ресурсоемким процессом, требующим внимания преданных специалистов по безопасности.\r\nУправляемый сервис безопасности конечных точек сочетает в себе новейшие технологии, круглосуточную команду сертифицированных CSOC экспертов и новейшие отраслевые аналитические данные для рентабельной ежемесячной подписки. Управляемые сервисы могут помочь снизить ежедневную нагрузку по мониторингу и реагированию на предупреждения, улучшить управляемость и автоматизацию безопасности (SOAR) и улучшить поиск угроз и реагирование на инциденты.","materialsDescription":" <span style=\"font-weight: bold; \">Что такое Обнаружение и реагирование на угрозы на конечных устройствах?</span>\r\nОбнаружение и реагирование угроз на конечных устройствах (EDR) - это новая технология, которая решает проблему постоянного мониторинга и реагирования на сложные угрозы. Можно даже утверждать, что обнаружение угроз и реагирование на них являются одной из форм расширенной защиты от угроз.\r\n<span style=\"font-weight: bold; \">Каковы основные аспекты безопасности EDR?</span>\r\nСогласно Gartner, эффективный EDR должен обладать следующими возможностями:\r\n<ul><li>Поиск и расследование происшествий</li><li>Проверка оповещения или подозрительной активности</li><li> Обнаружение подозрительной активности</li><li>Поиск угроз или исследование данных</li><li>Прекращение злонамеренной деятельности</li></ul>\r\n<span style=\"font-weight: bold; \">Чем полезно решение EDR?</span>\r\nПонимание ключевых аспектов EDR и их важности поможет вам лучше понять, что искать в решении. Важно найти программное обеспечение EDR, которое может обеспечить высочайший уровень защиты, при этом требуя наименьших усилий и вложений - добавляя ценность вашей команде безопасности, не истощая ресурсы. Вот шесть ключевых аспектов EDR, которыми вы должны интересоваться:\r\n<span style=\"font-weight: bold; \">1. Видимость:</span> Видимость в реальном времени всех ваших конечных точек позволяет вам видеть действия злоумышленников, даже если они пытаются вас взломать, и немедленно останавливать их.\r\n<span style=\"font-weight: bold; \">2. База данных угроз:</span> Эффективный EDR требует огромного количества телеметрии, собранной с конечных точек и обогащенной контекстом, чтобы с помощью различных аналитических методов её можно было использовать для определения признаков атаки.\r\n<span style=\"font-weight: bold; \">3. Поведенческая защита:</span> Расчет исключительно на сигнатурные методы или индикаторы компрометации (IOCs), может привести к «тихому отказу», который допускает утечку данных. Эффективный EDR требует поведенческих подходов, которые включают индикаторы атаки (IOA), поэтому вы будете предупреждены о подозрительных действиях, прежде чем может произойти компрометация.\r\n<span style=\"font-weight: bold; \">4. Проницательность и разведка:</span> Решение EDR, которое интегрирует разведку угроз, может предоставить контекст, включая сведения о противнике, который атакует вас, или другую информацию об атаке.\r\n<span style=\"font-weight: bold; \">5. Быстрая реакция:</span> EDR, обеспечивающий быстрое и точное реагирование на инциденты, может остановить атаку, прежде чем она достигнет цели, и позволит вашей организации быстро вернуться к бизнес задачам.","iconURL":"https://roi4cio.com/fileadmin/user_upload/hgghghg.png"},{"id":40,"title":"Защита конечных устройств","alias":"zashchita-konechnykh-ustroistv","description":"В сетевой безопасности безопасность конечных точек относится к методологии защиты корпоративной сети при доступе через удаленные устройства, такие как ноутбуки или другие беспроводные и мобильные устройства. Каждое устройство с удаленным подключением к сети создает потенциальную точку входа для угроз безопасности. Безопасность конечных точек предназначена для защиты каждой конечной точки в сети, созданной этими устройствами.\r\nОбычно безопасность конечных точек - это система, которая состоит из программного обеспечения безопасности, расположенного на центрально управляемом и доступном сервере или шлюзе в сети, в дополнение к клиентскому программному обеспечению, устанавливаемому на каждой из конечных точек (или устройств). Сервер аутентифицирует логины с конечных точек, а также обновляет программное обеспечение устройства при необходимости. Хотя программное обеспечение для обеспечения безопасности конечных точек различается в зависимости от поставщика, можно ожидать, что большинство предложений программного обеспечения будут содержать антивирус, антишпионское ПО, брандмауэр, а также систему предотвращения вторжений на хост (HIPS).\r\nБезопасность конечных точек становится все более распространенной функцией безопасности ИТ, поскольку все больше сотрудников привлекают к работе мобильные устройства потребителей, а компании разрешают своим мобильным сотрудникам использовать эти устройства в корпоративной сети.","materialsDescription":"<span style=\"font-weight: bold; \">Что такое конечные точки?</span>\r\nЛюбое устройство, которое может подключаться к центральной сети предприятия, считается конечной точкой. Конечные точки являются потенциальными местами проникновения вредоносных программ и нуждаются в надежной защите, так как они — это часто самое слабое звено сетевой безопасности.\r\n<span style=\"font-weight: bold; \">Что такое управление защитой конечных точек?</span>\r\nНабор правил, определяющих уровень безопасности, которому должно соответствовать каждое устройство, подключенное к сети предприятия. Эти правила могут предусматривать использование одобренной операционной системы (ОС), установку виртуальной частной сети (VPN) или использование современного антивирусного программного обеспечения. Если подключающееся к сети устройство не имеет требуемого уровня защиты, может использоваться гостевая сеть с ограниченным доступом.\r\n<span style=\"font-weight: bold; \">Что такое программное обеспечение для защиты конечных точек?</span>\r\nПрограммы, которые обеспечивают защиту ваших устройств. Программное обеспечение для защиты конечных точек может быть облачным и работать как SaaS (программное обеспечение как услуга). Его также может установить как отдельное приложение на каждом устройстве.\r\n<span style=\"font-weight: bold;\">Что такое Endpoint Detection and Response (EDR)?</span>\r\nРешения по защите конечных точек от угроз (Endpoint Detection and Response или EDR) анализируют файлы и программы и сообщают о найденных угрозах. Решения EDR постоянно отслеживают сложные угрозы, помогая выявлять атаки на раннем этапе и быстро на них реагировать.\r\n<span style=\"font-weight: bold;\">Что такое EPP (Endpoint Protection Platform)?</span>\r\nEPP (Endpoint Protection Platform) — класс решений, предназначенный для предотвращения и блокирования известных угроз, обнаружения вредоносной активности. Комплексная защита рабочей станции, включающая классический антивирус, расширенные технологии безопасности (персональный межсетевой экран, система предотвращения вторжений, контроль приложений, управление cъемными носителями и др.) и инструменты расследования и восстановления.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_Endpoint_security.png"},{"id":45,"title":"SIEM - управление информацией и событиями в системе безопасности","alias":"siem-upravlenie-informaciei-i-sobytijami-v-sisteme-bezopasnosti","description":"SIEM (Security information and event management) — объединение двух терминов, обозначающих область применения ПО: SIM (Security information management) — управление информацией о безопасности, и SEM (Security event management) — управление событиями безопасности.\r\nТехнология SIEM обеспечивает анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений, и позволяет реагировать на них до наступления существенного ущерба.\r\nС растущим объемом информации, которая обрабатывается и передается между различными информационными системами (ИС), организации и отдельные пользователи все больше зависят от непрерывности и корректности выполнения данных процессов. Для реагирования на угрозы безопасности в ИС необходимо иметь инструменты, позволяющие анализировать в реальном времени происходящие события, число которых только растет. Одним из решений данной проблемы является использование SIEM-систем. Основополагающий принцип системы SIEM заключается в том, что данные о безопасности информационной системы собираются из разных источников, и результат их обработки предоставляется в едином интерфейсе, доступном для аналитиков безопасности, что облегчает изучение характерных особенностей, соответствующих инцидентам безопасности. SIEM представляет собой объединение систем управления информационной безопасностью (SIM) и управления событиями безопасности (SEM) в единую систему управления безопасностью. Сегмент SIM, в основном, отвечает за анализ исторических данных, стараясь улучшить долгосрочную эффективность системы и оптимизировать хранение исторических данных. Сегмент SEM, напротив, делает акцент на выгрузке из имеющихся данных определенного объема информации, с помощью которого могут быть немедленно выявлены инциденты безопасности. По мере роста потребностей в дополнительных возможностях непрерывно расширяется и дополняется функциональность данной категории продуктов.\r\nОдной из главных целей использования SIEM-систем является повышение уровня информационной безопасности в имеющейся архитектуре за счет обеспечения возможности манипулировать информацией о безопасности и осуществлять упреждающее управление инцидентами и событиями безопасности в близком к реальному времени режиме.\r\nУпреждающее управление инцидентами и событиями безопасности заключается в принятии решений еще до того, как ситуация станет критической. Такое управление может осуществляться с использованием автоматических механизмов, которые прогнозируют будущие события на основе исторических данных, а также автоматической подстройки параметров мониторинга событий к конкретному состоянию системы.\r\nSIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.\r\nПонятие управление событиями информационной безопасности (SIEM), введенное Марком Николеттом и Амритом Вильямсом из компании Gartner в 2005 г., описывает функциональность сбора, анализа и представления информации от сетевых устройств и устройств безопасности, приложений идентификации (управления учетными данными) и управления доступом, инструментов поддержания политики безопасности и отслеживания уязвимостей, операционных систем, баз данных и журналов приложений, а также сведений о внешних угрозах. Основное внимание уделяется управлению привилегиями пользователей и служб, службами каталогов и другим изменениям конфигурации, а также обеспечению аудита и обзора журналов, реакциям на инциденты","materialsDescription":" <span style=\"font-weight: bold; \">Что такое SIEM?</span>\r\nSIEM начинался как объединение двух разных решений кибербезопасности: Управление событиями безопасности (SEM) и Управление информацией о безопасности (SIM).\r\nSEM служил инструментом управления угрозами, предназначенным главным образом для борьбы с угрозами в более ранних сетевых средах и поддержки реагирования на инциденты. Между тем, SIM предлагает управление журналами, исторический анализ и криминалистические возможности.\r\nДругими словами, SIEM объединяет возможности SEM и SIM в одно решение для предприятий.\r\n<span style=\"font-weight: bold; \">Отличается ли SIEM от управления журналами?</span>\r\nРешения по управлению журналами (LEM) позволяют предприятиям отслеживать действия пользователей и обрабатывать огромные объемы данных. Большинство решений SIEM предлагают управление журналами в качестве одной из своих ключевых возможностей, хотя SIEM также предлагает предупреждения безопасности, обнаружение угроз, устранение угроз и корреляцию событий безопасности, необходимых для кибербезопасности.\r\nУправление журналом само по себе недостаточно для обеспечения вашей максимальной защиты от кибербезопасности, хотя это важно для обеспечения соответствия нормативным требованиям во многих случаях использования.\r\n<span style=\"font-weight: bold; \">Какие ключевые возможности в SIEM?</span>\r\nКонечно, ни один список вопросов SIEM не будет полным, если не вдаваться в ключевые возможности решения. Хотя упрощение может представлять опасность для более полного понимания, мы можем разбить ключевые возможности SIEM на три категории компонентов: управление журналами, обнаружение угроз и соответствие требованиям.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">Податливость</span></span>\r\nРаннее внедрение SIEM обусловлено необходимостью соблюдения требований крупными предприятиями. Однако почти любое предприятие в любой отрасли должно соответствовать определенным нормативным требованиям, будь то государственное или промышленное; потребность в SIEM, безусловно, возросла в последние годы.\r\nОбработка и компиляция данных SIEM позволяют легко выполнять отчеты о соответствии. Фактически, SIEM может помочь вашему предприятию в реализации таких важных инициатив, как HIPAA.\r\n<span style=\"font-style: italic; \"><span style=\"font-weight: bold; \">Управление журналами</span></span>\r\nКак описано выше, управление журналами предоставляет предприятиям архитектуру для обработки огромных объемов данных. Эта, казалось бы, простая задача предлагает огромные преимущества вашей ИТ-команде.\r\nНапример, ваша команда может выполнить нормализацию данных, позволяя им адекватно анализировать данные из разнородных источников по всей сети без хлопот. Кроме того, они могут сопоставлять события безопасности из этих разрозненных областей сети, что позволяет им быстро определять шаблоны, указывающие на угрозу.\r\nКроме того, управление журналами предоставляет функции корпоративного поиска (в идеале, с несколькими вариантами запросов, фильтрами и параметрами классификации). Он также должен учитывать функции хранения, сохранения, сжатия, шифрования и архивирования данных.\r\n<span style=\"font-weight: bold; \"><span style=\"font-style: italic; \">Обнаружение угрозы</span></span>\r\nКонечно, SIEM помогает предприятиям улучшить обнаружение угроз, улучшая видимость своей сети. Основное правило в кибербезопасности - вы не можете защитить то, что не видите.\r\nКроме того, SIEM может подключить ваше предприятие к различным источникам информации об угрозах, которые дополняют ваше обнаружение и реагирование. Возможности обнаружения угроз позволяют предприятиям обнаруживать цифровые угрозы в своих сетях. Они сокращают время ожидания злоумышленника, предотвращают компрометацию личных данных, сокращают затраты на восстановление и повышают доверие клиентов.\r\n<span style=\"font-weight: bold; \">SIEM подходит только для крупного предприятия?</span>\r\nСреди наиболее актуальных вопросов SIEM для малого и среднего бизнеса. Когда-то это могло быть правдой, что только крупные компании могли извлечь выгоду из SIEM. Но из-за того, что парадигма кибербезопасности меняется так быстро, малым и средним предприятиям также нужна SIEM.<br />Однако лицам, принимающим решения в области ИТ на вашем предприятии, следует потратить время на изучение различных решений SIEM, чтобы убедиться, что их возможности соответствуют вашему корпоративному варианту использования. Некоторые решения SIEM могут оказаться более подходящими для вашей отрасли или размера вашего бизнеса.\r\nС другой стороны, если вы SMB, вы также можете убедиться, что ваше решение SIEM может масштабироваться, если и когда ваш бизнес будет расти.\r\n<span style=\"font-weight: bold; \">Как мне развернуть решение SIEM?</span>\r\nТщательно и осознанно. SIEM может оказаться трудным для правильного развертывания, если вы попытаетесь использовать SIEM везде в своей сети одновременно. Кроме того, это может вызвать серьезные проблемы с внедрением и возможные проблемы с интеграцией, что приведет к перегрузке вашей ИТ-команды.<br />Поэтому вы должны отдавать приоритет развертыванию вашего решения SIEM. Выберите наиболее ценные, ценные и конфиденциальные базы данных и сначала разверните решение там. Следите за тем, как решение соответствует вашей корпоративной сети, и определите, где корректировки могут оказаться необходимыми. С этого момента развертывание в остальных ваших базах данных не должно быть такой сложной задачей.\r\n<span style=\"font-weight: bold;\">Что потребуется SIEM?</span>\r\nМногие предприятия задают вопросы SIEM, но немногие не забывают спрашивать об этом.<br />Вся кибербезопасность - это улица с двусторонним движением. Правильное решение абсолютно составляет половину уравнения. Однако для другой половины ваша команда ИТ-безопасности и ваши сотрудники должны участвовать в ее оптимальной производительности.\r\nSIEM требует хороших правил корреляции для своих предупреждений безопасности; ваша группа ИТ-безопасности должна регулярно отслеживать и обновлять эти правила корреляции. Кроме того, вам необходимо убедиться, что ваше решение SIEM интегрируется с другими вашими решениями кибербезопасности; проблема интеграции может привести к увеличению затрат и брешей в безопасности.<br />Но помимо этого, ваши сотрудники должны использовать лучшие практики кибербезопасности. Регулярное обучение кибербезопасности должно стать основной частью программ развития навыков ваших сотрудников.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_SIEM.png"},{"id":204,"title":"Обнаружение угроз и реагирование","alias":"obnaruzhenie-ugroz-i-reagirovanie","description":"MDR, что означает "Managed Detection and Response" («Обнаружение угроз и реагирование»), представляет собой всеобъемлющую систему обнаружения угроз, которая возникла из-за потребности малых и средних организаций, которым не хватает ресурсов, чтобы иметь возможность самостоятельно контролировать свои сетевые системы. Это обеспечивает экономически эффективную альтернативу SIEM (информация о безопасности и управление событиями).\r\nКаждый день возможности злоумышленников становятся все более изощренными, а объем предупреждений становится огромным и неуправляемым. Внутренние группы могут изо всех сил пытаться анализировать и регистрировать данные, что затрудняет, как никогда ранее, определение того, являются ли эти угрозы вредными. MDR может остановить атаки еще до того, как они произойдут. Технология MDR контролирует ваши системы и выявляет любые необычные действия, в то время как наша команда экспертов реагирует на угрозы, обнаруженные в вашем бизнесе.\r\nMDR предлагает анализ угроз в реальном времени и способен анализировать поведение, которое может быть пропущено при использовании традиционных технологий безопасности конечных точек. MDR также обеспечивает быструю идентификацию известных угроз, что, в свою очередь, сводит к минимуму общие атаки. Дистанционное расследование инцидентов сведет к минимуму ущерб вашему бизнесу и позволит вам быстро вернуться к работе. Важно отметить, что использование услуг MDR позволит третьим лицам получить доступ к данным вашей компании. Вам нужно подумать о работе с поставщиком, который понимает и уважает вашу политику в отношении данных.","materialsDescription":"<span style=\"font-weight: bold;\"> Что такое управляемое обнаружение и реагирование?</span>\r\nУправляемое обнаружение и реагирование (MDR) - это управляемая служба кибербезопасности, которая обеспечивает обнаружение вторжений вредоносных программ и действий в вашей сети и помогает быстро реагировать на инциденты для устранения этих угроз с помощью кратких действий по исправлению. MDR обычно объединяет технологическое решение с внешними аналитиками безопасности, которые расширяют ваши технологии и команду.\r\n<span style=\"font-weight: bold;\">Разве это не то, что делают MSSP или управляемые SIEM?</span>\r\nНет. Поставщики услуг управляемой безопасности (MSSP) контролируют меры безопасности сети и могут отправлять оповещения при обнаружении аномалий. MSSP обычно не исследуют аномалии для устранения ложных срабатываний и не реагируют на реальные угрозы. Это означает, что отклонения в использовании сети передаются вашему ИТ-персоналу, который затем должен просмотреть данные, чтобы определить, существует ли реальная угроза и что с этим делать.\r\n<span style=\"font-weight: bold;\">Мой брандмауэр не защищает мою сеть?</span>\r\nМежсетевые экраны и другие превентивные формы кибербезопасности очень важны и эффективны для предотвращения основных кибератак. Однако за последнее десятилетие стало ясно, что превентивных технологий кибербезопасности недостаточно для защиты сети организации. Кроме того, они являются еще одним источником предупреждений, сообщений журнала и событий, которые способствуют «усталости от предупреждений», от которой сегодня повсеместно страдают. Последние крупные взломы, такие как Marriot Hack от 2018 года, Anthem Hack от 2015 года и Target Hack от 2013 года, демонстрируют, как легко киберпреступники могут взломать сети в корпоративных организациях, чтобы украсть миллионы номеров кредитных карт, медицинских карт и других форм PII/PHI.","iconURL":"https://roi4cio.com/fileadmin/user_upload/Endpoint_Detection_and_Response.png"},{"id":467,"title":"Сетевая экспертиза","alias":"setevaja-ehkspertiza","description":" Компьютерно-сетевая экспертиза представляет собой один из видов компьютерно-технических исследований. Данный вид анализа во многом схож с программно-компьютерной экспертизой, однако фокус экспертного внимания смещен на исследование сетевой работы пользователя. То есть анализируется, в первую очередь, действия человека, произведенные посредством компьютерных сетей. Для проведения компьютерно-сетевой экспертизы эксперт должен обладать специальными познаниями в области сетевых технологий, чтобы эффективно отслеживать движение информационных пакетов посредством изучения информационного следа. Знание принципов работы сетей позволяет соединить в общую доказательную базу все разрозненные объекты, полученные в ходе расследования, а также сведения о них. Вследствие чего наиболее эффективно решаются поставленные экспертные задачи.\r\nКомпьютерно-сетевая экспертиза в первую очередь рассматривает функциональную принадлежность компьютерных систем, реализующих сетевые технологии. Чаще всего с помощью данного исследования получаются доказательства по делам, связанным с интернет-технологиями. Предметом исследования являются информационно-компьютерные сети и обнаруживаемые следы сетевой активности пользователя. В ходе расследования преступлений, совершенных с использованием сети интернет, при отсутствии возможности получить доступ к компьютеру правонарушителя, получить доказательства можно с помощью исследования информационных следов в сети. В таких случаях используется компьютерно-сетевая экспертиза.\r\nДанный вид исследований применяется не только при расследовании различных преступлений. Компьютерно-сетевая экспертиза способна проанализировать эффективность работы сетевой системы, определить возможность внесения изменений в рабочий процесс системы, предложить пути модернизации организованной сетевой системы путем обновления компонент системы или организации более четкой архитектуры ее работы. Во многих случаях, исследование одного персонального компьютера или даже многих компьютеров по отдельности не дает должного результата, так как при сетевой организации работы данные хранятся распределенным образом, а многие рабочие процессы организованы с использованием сетевых технологий.\r\nКруг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы.","materialsDescription":"<span style=\"font-weight: bold; \">Какие задачи решает компьютерно-сетевая экспертиза?</span>\r\nКруг задач, решаемых компьютерно-сетевой экспертизой, заключается в исследовании программных сетевых средств, персональных компьютеров, имеющих выход во всемирную сеть интернет, больших компьютерных систем, организованных сетевым образом с доступом в интернет. Перечень задач в каждом конкретном случае проведения исследования зависит от набора представленных для анализа объектов и целей, преследуемых инициаторами экспертизы. В общем случае эксперт по проведению компьютерно-сетевой экспертизы в процессе своей деятельности решает следующие задачи:\r\n<ul><li>Выявление связей между применением конкретных сетевых объектов и результатами их работы.</li><li>Исследование событий, имевших место в сети – установление его обстоятельств и механизма действия, исходя из полученных результатов. Например, исследуются пути распыления по сети вредоносных программ, сценарии нерегламентированного доступа к данным и системам и так далее.</li><li>Исследование отображений сети в информационных блоках накопителей данных с целью выявления свойств и состояния исследуемой сети. Анализируются жесткие диски, компакт-диски, внешние накопители данных (флэшки, внешние диски и пр.), дискеты, RAID-массивы и так далее.</li><li>Выявление механизма изменения свойств исследуемой сети, а также причин данного изменения.</li><li>Установление фактов несоблюдения предписанного режима использования сети, выявление использования недопустимого или запрещенного программного обеспечения.</li><li>Определение исходного состояния все исследуемой сети, а также каждого ее компонента по отдельности. Выявление изменений, внесенных в начальное состояние компьютерной сетевой системы – были ли добавлены дополнительные сетевые устройства, изменена ли конфигурация сервера или рабочих мест и так далее.</li><li>Установление текущего состояния сетевой системы или сетевого программного или аппаратного средства. Выявление физических дефектов аппаратных средств; определение компонент доступа в сеть и состояния журнала системных событий.</li><li>Определение специфических характеристик сетевой системы, определение ее конфигурации, типа устройства архитектуры. Установление механизма организации доступа к массивам данных, а также установленных сетевых программно-аппаратных средств.</li><li>Установление факта соответствия обнаруженных характеристик и характеристик, являющихся типовыми для подобных сетевых систем.</li><li>Определение принадлежности исследуемого объекта к клиентской или серверной части сетевой системы.</li><li>Определение специфических характеристик отдельных компонент сетевой системы – программных объектов и аппаратных средств. Определение функционального предназначения, роли и места анализируемого объекта в сетевой системе.</li></ul>\r\n<span style=\"font-weight: bold;\">Почему важна криминалистика сети?</span>\r\nСетевая криминалистика важна, потому что очень много распространенных атак влечет за собой некоторый тип неправильного использования сетевых ресурсов.\r\n<span style=\"font-weight: bold;\">Как можно атаковать сеть?</span>\r\nАтаки обычно нацелены на конфиденциальность и целостность доступности. Утрата любого из этих предметов является нарушением безопасности.\r\n<span style=\"font-weight: bold;\">Где лучшее место для поиска информации?</span>\r\nИнформацию можно найти, выполнив живой анализ сети, проанализировав информацию IDS или изучив журналы, которые можно найти на маршрутизаторах и серверах.\r\n<span style=\"font-weight: bold;\">Как судебный аналитик знает, как глубоко искать информацию?</span>\r\nНекоторое количество информации может быть получено при просмотре уровня квалификации атакующего. Атакующие с небольшим навыком гораздо реже используют передовые методы сокрытия.","iconURL":"https://roi4cio.com/fileadmin/user_upload/icon_Network_Forensics.png"}],"characteristics":[],"concurentProducts":[],"jobRoles":[],"organizationalFeatures":[],"complementaryCategories":[],"solutions":[],"materials":[],"useCases":[],"best_practices":[],"values":[],"implementations":[]}],"partnershipProgramme":null}},"aliases":{},"links":{},"meta":{},"loading":false,"error":null},"implementations":{"implementationsByAlias":{},"aliases":{},"links":{},"meta":{},"loading":false,"error":null},"agreements":{"agreementById":{},"ids":{},"links":{},"meta":{},"loading":false,"error":null},"comparison":{"loading":false,"error":false,"templatesById":{},"comparisonByTemplateId":{},"products":[],"selectedTemplateId":null},"presentation":{"type":null,"company":{},"products":[],"partners":[],"formData":{},"dataLoading":false,"dataError":false,"loading":false,"error":false},"catalogsGlobal":{"subMenuItemTitle":""}}