DIS априори подразумевается интегрировать с существующими системами безопасности, такими как SIEM и IDS/IPS, чтобы обеспечить полноценное управление рисками и автоматическую защиту. Из важного следует отметить необходимость разграничения прав доступа, наличие планов на случай взлома самой DIS, ведь несмотря на то что это система безопасности, стоит помнить, что невзламываемых систем нет.

И раз выше мы затронули вопрос «экосистемности» подхода поставщиков программного обеспечения такого рода, предлагаю рассмотреть чуть ближе, в качестве примера, решение от Microsoft.

Microsoft Defender for Endpoint – одна из ведущих платформ для защиты конечных точек (EDR). Она активно используется для проактивного обнаружения, реагирования и автоматического восстановления после киберинцидентов.

Благодаря единой экосистеме Microsoft Defender может быстро реагировать на атаки и обеспечивать защиту данных и инфраструктуры на всех уровнях, что особенно важно для предприятий с гибридной и облачной инфраструктурой.

Этот продукт предоставляет большие возможности для защиты корпоративных устройств (IoT) от сложных угроз и автоматически восстанавливает их после атак, минимизируя вмешательство пользователя. Microsoft Defender использует поведенческий анализ и машинное обучение для выявления подозрительной активности в реальном времени. После обнаружения угрозы система автоматически изолирует скомпрометированное устройство или сервис, не нарушая работы всей сети. Производится автоматическое исправление конфигураций и откат системы до состояния до атаки с использованием снэпшотов и резервных копий.

Microsoft Defender поддерживает технологию Auto Investigation and Remediation – это функция автоматического расследования инцидентов и их устранения, которая позволяет без участия администратора восстанавливать нормальную работу системы после инцидента.

Что занимательно – и именно в контексте рассматриваемого примера, – так это наличие интеграции с Microsoft 365 и Azure. В мире Microsoft это самые базовые для базового же пользователя сервисы. Microsoft Defender тесно интегрируется с Microsoft 365 и Azure, что позволяет защищать облачные приложения и данные. То есть вот это вот все (биг-дата, дата-сайенс, искусственный интеллект в безопасности) входит в продукт, который можно подключить для пользователей «на местах» или B2C-сегмента, скажем, интегрировать в Word или Excel для условной секретарши Виктории Николаевны, купив подписку.

Важно обучить сотрудников новым методам работы с DIS-системами. Несмотря на автономность таких систем, специалисты должны понимать, как функционирует цифровой иммунитет и как он взаимодействует с другими компонентами безопасности, где его слабые и сильные стороны. Необходимо устраивать учения со сбоями и блек-джеком.

Есть и уже готовые решения, иногда доступные в рамках все той же единой подписки, или экосистемы.

Система включает в себя модули, ориентированные на повышение осведомленности сотрудников в сфере безопасности. Она использует сценарии имитации угроз для обучения правильным действиям в условиях кибератак – например, может эмулировать фишинговую атаку, чтобы проверить, как сотрудники реагируют на потенциальные угрозы, и обучить их правильным реакциям.

В случае опасного поведения (например, если сотрудник кликает на подозрительную ссылку) система может автоматически отправить обучающее уведомление с рекомендациями по безопасным действиям. Это способствует формированию дисциплины и культуры безопасности.

Это инструмент, который предоставляет оценку уровня безопасности инфраструктуры и рабочих процессов организации. Он не только отслеживает соблюдение правил, но и предлагает рекомендации и учебные материалы для повышения безопасности, что важно для внедрения DIS.

С помощью Secure Score сотрудники могут видеть, какие действия они могут предпринять для улучшения показателей безопасности и как исправлять потенциальные уязвимости.

Популярные платформы, которые специализируются на обучении сотрудников реагированию на угрозы, в том числе на моделировании сценариев атаки. Такие платформы можно интегрировать с другими решениями, чтобы обучать персонал правильным действиям в условиях актуальных и современных киберугроз.