Безопасность бывает разной. И каждый самостоятельно принимает решение, как ему обеспечить свою безопасность. В течение последних двух лет мы ежедневно наблюдаем увеличивающееся количество атак и инцидентов, связанных с безопасностью.
Уровень атак и их сложность постоянно растет. Это атаки на базе PowerShell скриптов, безфайловые вредоносные программы, программы-шифровальщики. Современные атаки — многошаговые, и зачастую каждый из этапов для обычного пользователя может выглядеть вполне безобидно. Если анализировать данные прошлого года, то среднее время взлома систем во время атаки составляет в среднем 18 секунд для наиболее продвинутых хакерских групп из РФ. Для большинства компаний такие атаки пройдут незамеченными.
Сами атаки можно разделить на известные и неизвестные. Первые в общем объеме составляют порядка 80%. Но основной ущерб, согласно принципу Парето 80/20, наносят 20% из них. Это не значит, что от них не нужно защищаться. Как раз наоборот — нужно максимально отсеять весь этот объем уже известных атак.
Подписывайтесь на Telegram-канал delo.uaВ то же время есть еще и неизвестные (0-day) и целенаправленные атаки, которые просто неизвестны большинству систем безопасности, и именно они наносят гораздо больший урон бизнесу. По сути одна атака такого уровня, может стать для компании серьезной проблемой.
Именно поэтому очень важно соблюдать, с одной стороны, базовые принципы кибер-гигиены, а с другой — внедрять системы обеспечения расширенной кибербезопасности, оценивая риски потерь критичной информации.
По нашему мнению, учитывая, что вектор атак по-прежнему направлен в первую очередь на пользовательские устройства и серверы, необходимо обеспечивать в первую очередь комплексную защиту этих компонентов. Особенно это будет актуальным, если пользователь будет находиться за периметром корпоративной защиты.
Что делать, если атака уже произошла?
Любая атака — это, прежде всего, процесс. И основная цель защищающихся — остановить его.
Часть процесса находится вне зоны влияния, часть — в зоне влияния компаний. Нужно понимать, что любая система кибербезопасности может быть взломана, и даже если нам удастся на последнем этапе остановить атаку, сохранив свои критичные данные, можно считать, что мы успешно защитились. Именно поэтому и нужны определенные системы, которые позволят реализовать киберзащиту необходимого уровня и, что не менее важно, дополнительно обеспечить визуализацию процессов кибербезопасности.
Есть ряд организаций, которые занимаются разработкой стандартов в области кибербезопасности. В их числе — NIST и их известный Cybersecurity Framework, на базе которого мы в нашей компании строим и предлагаем свой подход нашим клиентам.
Любой фреймворк, включая NIST CyberSecurity Framework — описывает шаги, направленные не только на предотвращение, а также на детектирование, противодействие и восстановление, что еще раз подтверждает, что нельзя гарантировать 100%-ную защиту.
К сожалению, нет единой формулы построения 100%-ной безопасности, и каждой компании нужно самостоятельно выстраивать информационную безопасность исходя из специфики своей компании и процессов и с учетом того, что вас в любом случае взломают. Особенно это касается small/medium бизнеса (SMB), где строить сложную систему безопасности достаточно сложно и дорого, и обычно не целесообразно.
Очень часто для SMB компаний центральным элементом защиты выступает простейший маршрутизатор, который не способен обеспечить необходимое качество и комплексность защиты от современных киберугроз.
Именно поэтому мы рекомендуем строить систему кибербезопасности, начиная с определения наиболее критичных данных и сервисов, а также исходя из анализа и предотвращения возможных рисков для бизнеса.
Способы защиты
Для решения наиболее критичных вопросов обеспечения кибербезопасности мы предлагаем рассмотреть наиболее уязвимые и часто атакуемые объекты ИТ-инфраструктуры — ПК пользователей и серверы. По нашему мнению — для СМБ бизнеса, защита этих объектов позволит закрыть достаточно большое количество потенциальных рисков и значительно повысить общий уровень кибербезопасности.
Для защиты конечных точек (ПК и серверы) существует множество решений на рынке, но, по нашему мнению, на текущей момент необходимо ориентироваться на класс решений антивирусов следующего поколения (NG-AV) — EPP (End-Point Protection) и системы EDR (End Point Detection and Response) согласно классификации Gartner.
Это продиктовано необходимостью изменения подходов к обеспечению защиты от сложных угроз, и современные решения должны включать в себя функциональность по обнаружению комплексных атак, направленных на конечные точки, о которых мы говорили ранее.
Системы класса NG-AV / EPP используют более сложные алгоритмы для анализа файлов и процессов, основанные не только на сравнении с существующими сигнатурами, а и на базе так называемого поведенческого анализа, каждого из файлов или процессов, которые пользователь запускает на своем ПК. Таким образом, мы контролируем все ПК и серверы из единой консоли и видим, что происходит в рамках контролируемой сети.
Ожидаемым результатом от внедрения EDR-решений по противодействию сложным угрозам будет организация передовой защиты конечных устройств, что приведет к заметному уменьшению поверхности комплексных целевых атак и тем самым к сокращению общего числа киберугроз.
Кроме того, функция EDR позволяет дополнительно визуализировать и понять, как попала угроза в систему, как быстро распространяется, какие цели? То есть визуализировать то, что обычно скрыто и незаметно для ИТ-служб. Зачастую многие компании просто не подозревают, что их взломали. Месяцами может кто-то быть в Вашей ИТ-инфраструктуре и иметь доступ к конфиденциальной информации.
Использование функциональности EDR позволит значительно расширить возможности компании с точки зрения детектирования и реагирования на возможные киберугрозы, включая блокировку ПК пользователя, на котором обнаружена угроза, таким образом значительно упрощая жизнь администраторам систем кибербезопасности и значительно уменьшая время реакции на возможные угрозы.
Также на сегодняшний день все современные компании, предлагающие решения защиты конечных точек, в том числе и сетевые системы защиты, используют механизмы машинного обучения, потому что получаемый объем данных путем анализа всех объектов защиты просто невозможно обработать вручную.
Что это означает? Используя систему защиты конечных точек, вы автоматически получаете доступ к самой важной аналитической информации с точки зрения информации о возможных вирусах, угрозах, индикаторах компрометации и прочее. Чем больше подключено к такой базе, тем более высоким будет качество детектирования и предотвращения возможных угроз.
Создавайте ложные цели
Есть еще один подход, позволяющий повысить уровень кибербезопасности. Эта технология известна давно, и профессиональные компании часто пользуются ими. Речь идет о создании ложных целей. То есть создать для атакующего (неважно, живой это взломщик или вредоносный код) ложные мишени, сам факт взаимодействия с которыми является признаком наличия угрозы. При этом абсолютно не важно, какого рода эта угроза, знают сигнатуры антивируса об этом вредоносном коде, или, может быть, это инсайдер пытается просканировать или взломать внутреннюю инфраструктуру.
Созданные ложные цели очень сложно отличить от реальных, и они могут быть различного уровня — ПК, серверы, сетевое оборудование — что создает серьезную дополнительную "паутину" ложных целей с централизованной консолью мониторинга и управления.
Если развернуть масштабную сеть ложных целей (рекомендуется не менее 10% от общего количества устройств), атакующий с большой вероятностью натолкнется на ложную мишень, мы сразу получим практически 100% инцидент и много расширенной информации относительно атакующего. Все это дает дополнительную информацию и визуализирует вектор прохождения атаки, что позволяет уменьшить время, необходимое для своевременного предотвращения действий атакующей стороны.
Взять в аутсорсинг или вырастить самому?
Кибербезопасность — это достаточно сложная область ИТ, которая включает в себя огромное количество пересекающихся и дополняющих друг друга технологий.
Именно по этой причине в этой области огромный дефицит кадров, и перед любой компанией стоит вопрос — полностью все вопросы закрывать своими силами или использовать модель аутсорсинга. На наш взгляд, принцип "золотой середины" или гибридной модели хорошо работает и здесь.
Как мы и говорили ранее, нет смысла защищать все и сразу. Важно определить, что такое критичные данные и критичные сервисы для компании, и направить усилия в сторону защиты этих данных и сервисов в первую очередь.
Использование модели аренды сервиса или аутсорсинга ключевых специалистов — отражает степень зрелости компаний и рынка в целом. Мы работаем над тем, чтобы обеспечить понятный как юридически, так и технически процесс, который бы позволил без опаски использовать технологии обеспечения безопасности как сервис (security as a service).
Использование решений обеспечения безопасности конечных точек в формате сервиса — позволит вам за достаточно умеренные деньги (условно говоря стоимость 1-2 чашек кофе в день) закрыть наиболее актуальные и часто пренебрегаемые угрозы без необходимости нанимать дорогостоящих экспертов.
Мы видим, что очень много компаний сегмента СМБ — просто не придают этому значения, хотя, как мы сказали ранее, — более 50% всех атак направлены именно на ПК пользователей и серверы.
Процессная модель и мониторинг 24/7
Непрерывность бизнеса компаний и безопасность связаны между собой. Именно поэтому важно отслеживать состояние безопасности и иметь процессную модель управления безопасностью. Непрерывный мониторинг безопасности в режиме 24х7 — на сегодня один из наиболее эффективных подходов, позволяющих не пропустить этап проникновения в вашу ИТ- инфраструктуру.
Использование дополнительных средств автоматизации — позволяет этот процесс значительно упростить, но все равно необходимо наличие выделенного и квалифицированного персонала, который будет уделять этому внимание и не по остаточному принципу — может быть, когда-нибудь. В большинстве компаний такие процессы не работают, и работа с профильными компаниями, которые предоставляют такие услуги в формате сервиса, на наш взгляд, наиболее экономически выгодный и эффективный вариант. Содержать в своем штате персонал, который будет заниматься только вопросами мониторинга безопасности, зачастую экономически нецелесообразно.
Для СМБ компаний, пожалуй, единственно приемлемый вариант — использование сервисов мониторинга в формате услуг. Мы понимаем, что это достаточно долгий путь, рынок не готов — но, как говорится, дорогу осилит идущий.
В заключение хочется вспомнить Льюиса Кэрролла. Для того чтобы оставаться на месте — нужно очень быстро бежать. В наших реалиях, когда действительно картина меняется очень быстро, нужно прилагать усилия даже для того, чтобы просто остаться на месте.
Наша компания готова дать вам тот инструмент который позволит бежать быстрее ваших конкурентов. Ведь мы видим свою цель в защите бизнеса наших клиентов, чтобы они могли сосредоточиться на своем деле и чувствовать себя уверенно в современном цифровом мире.