Эволюция угроз и стратегии защиты

Хакерские атаки и противостоящие им корпоративные системы безопасности становятся все более сложными и изощренными. «Плохие парни» создают мощные инфраструктуры для осуществления своих вредоносных кампаний. Киберпреступники постоянно совершенствуют технологии и способы кражи личных данных и интеллектуальной собственности, а их сетевые атаки могут остаться незамеченными.

cef704a22820ae2a8f889752a40163ed.png

Любую проблему необходимо решать во всей полноте ее проявления. Технические средства защиты — лишь часть уравнения.  Не стоит забывать, что огромную роль играет человеческий фактор. Специалистам по информационной безопасности необходимо постоянно вырабатывать и совершенствовать способы противодействия социальной инженерии (методам получения необходимого доступа к информации, основанным на особенностях психологии людей), в частности проводить обучение, нацеленное на повышение знаний в области информационной безопасности рядовых сотрудников. В нашей компании мы проводим на постоянной основе тренинги, в которых освещаем основы противодействия и выявления методов социальной инженерии.

Алексей Пулин, специалист технической поддержки Traffic Inspector


Эволюция угроз: основные изменения и факты


В отчете Cisco, посвященном вопросам информационной безопасности, рассказано, что источником утечки коммерческих данных могут стать обычные браузеры — эта проблема сейчас широко распространена. У более 85% рассмотренных в исследовании организаций были установлены вредоносные расширения браузеров, то есть практически каждая компания встречается с данной проблемой.

Кроме того, в минувшем году популярные бот-сети затронули интересы целого ряда организаций. Проведенный анализ показал, что подавляющее большинство такого вредоносного ПО (91,3%) использует для атаки системы доменных имен (DNS). Выявлены «жульнические» службы DNS, работавшие в сети заказчиков. Причем заказчики даже не знали, что их серверы DNS использовались собственными сотрудниками в рамках имевшейся инфраструктуры системы доменных имен.

cb9be518d5f469e5b06e79e491d1a479.png

Одна из тенденций прошедшего года — широкое распространение протокола HTTPS. Хотя шифрование помогает защитить пользователей, есть и обратная сторона медали: разработчикам становится сложнее отслеживать угрозы. К тому же некоторые виды вредоносного ПО могут обмениваться зашифрованными данными по разным портам.

В мире растет доля устаревающей ИТ-инфраструктуры. По данным исследования, на 92% проанализированных устройств работает ПО с известными уязвимостями. Кроме того, 31% оборудования достиг фазы «прекращения продаж», а 8% и вовсе находится на этапе «конца жизненного цикла».

В 2015 году руководители стали менее уверенными в своих инструментах и процессах обеспечения ИБ, чем годом ранее. Например, в минувшем году 59% организаций утверждали, что их инфраструктура безопасности была «очень современной» против 64% респондентов годом ранее. Это мотивирует организации совершенствовать свои системы защиты, которые должны противостоять не только внешним угрозам.

Внутренние угрозы


Защищать корпоративные ресурсы и ценную информацию необходимо также и от внутренних угроз. В частности, как свидетельствуют результаты исследования, которое провели Ponemon Institute и компания Fasoo, безалаберность сотрудников — главная причина утечек. Именно она — причина более половины инцидентов (56%). В 37% случаев утечка происходит в результате утери или кражи устройства. 35% инцидентов объясняется ошибкой третьей стороны. Лишь в 22% случаев конфиденциальная информация пропадает по вине злоумышленников, не связанных с компанией.

Нередко секреты попадают в руки сотрудников, которые не должны иметь к ним доступа. Неконтролируемое распространение конфиденциальной информации внутри компании наблюдается в 73% случаев. Зачастую организации просто не в курсе, где именно находятся наиболее чувствительные документы, и кто может получить к ним доступ. Свыше половины компаний разрешают использовать бесплатные сервисы для хранения и обмена файлами. В 77% компаний никогда не устраивали аудит того, как хранятся их конфиденциальные документы.  

Интеграция и кооперация


В ближайшие пять лет потребность в адаптивных интегрированных решениях приведет к созданию масштабируемой, интегрированной архитектуре защиты от угроз. Такая архитектура «обнаружения и реагирования» сможет гораздо быстрее откликаться на известные и новые угрозы. В ее основе будет лежать платформа мониторинга с учетом контекста и непрерывно обновляемая для оценки угроз, корреляции локальных и глобальных данных, оптимизирующая средства защиты.

Именно возможности мониторинга должны обеспечить защиту от большего числа векторов атак и внутренних угроз. Кроме того, такая платформа может стать основой, на которой смогут работать все поставщики решений и в которую они смогут вносить свой вклад.

Чтобы лучше понять фактические и потенциальные преимущества этой архитектуры, рассмотрим шесть принципов интегрированной защиты.

Сделано с умом


1. Более широкая сетевая инфраструктура и архитектура информационной безопасности для борьбы с растущим объемом все более сложных угроз.

За последние 25 лет формула традиционной модели информационной безопасности звучала так: «вижу проблему, покупаю коробку». Но такие решения часто представляют собой набор технологий от разных поставщиков. Они не взаимодействуют друг с другом.  

Интегрированная архитектура защиты от угроз — это платформа обнаружения и реагирования, которая предлагает больше возможностей и быстрее реагирует на угрозы, автоматически собирая больше данных. Такая платформа наблюдает за средой информационной безопасности и не только оповещает о подозрительных событиях и нарушениях политики, но и формирует четкую картину событий в сети.

Один в поле не воин


2. «Лучшие в своем классе» технологии ИБ в одиночку не могут справиться с текущей и будущей средой угроз. Они только усложняют сетевую инфраструктуру.

Организации инвестируют в «лучшие в своем классе» технологии обеспечения безопасности, но знают ли они, как эти решения работают на самом деле? Как показывает практика, многочисленные технологии обеспечения безопасности работают не так уж хорошо, как ожидалось, и последствия этого могут быть катастрофическими.

Иммунитет против скрытых угроз


3. Для анализа шифрованного трафика потребуется интегрированный механизм защиты от угроз, способный выявлять шифрованные данные о вредоносных действиях, перед которыми пасуют точечные продукты.

Объем шифрованного веб-трафика растет. И это усложняет отслеживание угроз. Решение состоит в получении более подробных сведений о том, что происходит на устройствах или в сетевых инфраструктурах. Встроенные системы безопасности помогут преодолеть эту проблему.

Вместе — сильнее


4. Для интегрированной архитектуры защиты от угроз крайне важны открытые API-интерфейсы.
Для сред с решениями разных поставщиков необходима общая платформа, которая обеспечивает мониторинг, контекст и возможности управления. Создание платформы интеграции может улучшить автоматизацию и повысить качество информации, предоставляемой продуктами для обеспечения ИБ.

Лучше меньше, да лучше


5. Для интегрированной архитектуры защиты от угроз требуется устанавливать и контролировать меньше оборудования и ПО.

Поставщики систем ИБ должны стремиться создавать максимально функциональные решения и предоставлять как можно больше возможностей на одной платформе. Это поможет упростить и дефрагментировать среду безопасности, которая оставляет слишком много возможностей для злоумышленников.

Отсекаем лишнее


6. Функции автоматизации и координации в интегрированной архитектуре защиты от угроз позволяют сократить время обнаружения, сдерживания и восстановления.

Снижение числа ложных срабатываний позволяет службам ИБ сосредоточиться на самом важном. Контекстуализация помогает оценить, требуют ли эти события немедленной реакции. Специалисты могут получать автоматизированные отчеты и более детальные данные системы аналитики.

В чем сила, брат?


Трудно переоценить важность внутриотраслевого сотрудничества. Оно необходимо не только для разработки будущей интегрированной архитектуры защиты от угроз, но и для отслеживания все более активных и подготовленных киберпреступников. Злоумышленники становятся опытнее в развертывании своих трудно обнаруживаемых решений…  

Полезные советы


Какие же конкретные шаги стоит предпринять организациям для внедрения у себя практических методов ИБ?
  • Учиться, и еще раз учиться. Обучение сотрудников — очень важная мера безопасности. Они должны уметь выявлять и предотвращать угрозы безопасности, например, попытки фишинга. Азбука безопасности — никогда не кликать на ссылках или почтовых вложениях, особенно, если письмо пришло от неизвестного отправителя. Почта и веб — два основных источника заражения.
    c4bdf5263be8b929aaaebf55c2f9023c.png

    По данным исследования Cisco, практически все организации (97%) проводят обучение информационной безопасности для своих сотрудников по крайней мере раз в год.
  • Для удаленного доступа к корпоративной сети нужно использовать как минимум двухфакторную аутентификацию.
  • Не давайте пользователям прав локального администрирования. Злоумышленники часто пользуются тем, что у кого-то есть особые привилегии.
  • Не забывайте про резервное копирование всех (не только критичных) данных и документов. Составьте план обеспечения непрерывности бизнес-процессов.
  • Не забывайте про аудит использования привилегированных прав, включая административные и сервисные аккаунты.
  • Важные данные в сети нужно выделять в отдельный сегмент и тщательно его мониторить.
  • Выстроите технологически сильную защиту. Установите межсетевые экраны для защиты сети и веб-приложений.
  • Разверните системы обнаружения и предотвращения вторжений (IPS/IDS), проверяющие входящий и исходящий трафик на возможные угрозы и атаки и пресекающие их.
  • Используйте для защиты клиентских систем и сети усовершенствованные решения класса Advanced Malware Protection.
  • Применяйте сканеры уязвимости.
  • Не забывайте про мониторинг логов, сканирование веб-приложений и сети — в режиме 24×7.
  • Используйте интеллектуальные решения безопасности для защиты от новейших угроз.
  • Шифруйте сообщения электронной почты.
  • Для защиты клиентских систем используйте решения с функциями поведенческого анализа.
  • Проверяйте сетевые соединения на уровне хоста на предмет подозрительных коммуникаций.
  • Контролируйте DNS-активность на уровне хоста.

По данным исследования, в первую тройку самых популярных средств защиты входят межсетевые экраны, DLP-системы и средства аутентификации. 52% компаний пользуются стандартизированными политиками безопасности.

Организациям требуется помощь экспертов. Это подтверждает все более широкая практика привлечения сторонних компаний для проведения проверок и реагирования на инциденты. Точка зрения организаций на аутсорсинг постепенно меняется: крупные предприятия, в том числе и в России, гораздо чаще применяют его для аудита, рекомендаций и консультаций.

55578a2cb166746021e93bde4bad56a7.png

Какие услуги обеспечения безопасности выполняются сторонними организациями — в среднем по миру и в России.

Заключение


Поставщикам решений безопасности стоит учитывать влияние, которое активная совместная и непрерывная работа участников отрасли может оказывать на борьбу с киберпреступностью, пресекая возможности злоумышленников для получения доходов и снижая вероятность будущих атак.

Предприятиям следует еще больше изучать свою готовность к отражению атак, а специалистам по безопасности необходимо сдерживать растущие затраты на поддержку технологий и содержание персонала. Уверенность заказчиков в надежности своей «обороны» будет расти по мере развертывания инструментов, позволяющих не только обнаруживать угрозы, но и нейтрализовать последствия их влияния, а также получать сведения, необходимые для предотвращения внешних атак и внутренних инцидентов в будущем.

Комментарии (0)

© Habrahabr.ru