Попереджений-озброєний: як захистити бізнес від нових кіберзагроз
Та чому антивірусу вже недостатньо
Дедалі гострішою проблемою для організацій різних сфер діяльності є ймовірність зіткнення з цілеспрямованими атаками. Змінюється підхід в цілому, та й атаки вже більш комплексні. Тепер усе частіше вони включають вразливості нульового дня, унікальні схеми без використання шкідливого програмного забезпечення, безфайлові методи та багато іншого. Які методи використовують зловмисники, щоб отримати інформацію, і як убезпечити бізнес від нових загроз, розповіла Mind СЕО Softico Лариса Куроєдова.
Актуальних систем захисту недостатньо
Використання рішень, побудованих на базі превентивних технологій, а також систем точково націлених на виявлення шкідливих активностей тільки в мережевому трафіку, уже не достатньо для захисту бізнесу. Кінцеві точки, такі як комп'ютери, робочі станції, ноутбуки, сервери і смартфони, стали критично важливими об'єктами контролю. Для зловмисників вони є досить простими і популярними точками проникнення, що підвищує необхідність підвищення контролю їх безпеки.
Платформи захисту кінцевих точок (Endpoint Protection Platform – EPP), які зазвичай присутні в інфраструктурі у більшості організацій, добре захищають від масових відомих, а також невідомих загроз. Вони в більшості випадків побудовані на базі шкідливих програм, які вже зустрічалися. Ці засоби захисту хоча і виявляють загрозу на кінцевих точках, але часто не можуть визначити, що ці попередження лише частина більш складної схеми зламу. Велика кількість компаній, не дивлячись на використання рішень щодо захисту кінцевих точок, усе ж піддаються компрометації.
Зловмисники стали більш агресивними і винахідливими в організації процесу атаки на інфраструктуру. У комплексних атаках застосовуються: мультивекторний підхід для проникнення, пошук вразливих місць в інфраструктурі, вивчення існуючих засобів захисту з метою їх обходу, використання спеціально розробленого або модифікованого шкідливого коду, застосування соціальної інженерії, шифрування і виключення вірогідності виявлення.
Також зловмисники прагнуть мінімізувати витрати, внаслідок чого вартість організації цілеспрямованої атаки знижується і, відповідно, зростає загальна кількість атак.
Згідно з дослідженням Ponemon Institute за 2020 рік 68% організацій зазнали одну або кілька атак на кінцеві точки, які успішно скомпрометували дані та їх ІТ-інфраструктуру.
Сучасні тенденції
Сьогодні у сфері цифрової безпеки стає помітною нова тенденція прямих атак, при якій зловмисники в якості своїх жертв вибирають не тільки великі організації. Усе частіше вони використовують малі та середні компанії в ланцюжку атаки на великі підприємства.
Ключовими загрозами для кінцевих точок експерти називають безфайлові атаки, які не розміщують ніяких файлів на жорсткому диску.
Вони зокрема передбачають:
- розміщення в оперативній пам'яті;
- збереження в реєстрі Windows;
- атаки з використанням скриптів;
- використання довіреного програмного забезпечення, у тому числі інструментів Windows, різних додатків для отримання облікових даних цільових систем.
Відстежити такого роду активності набагато складніше. Зловмисники можуть використовувати експлойти, макроси, скрипти і легітимні інструменти.
Замість установки шкідливих файлів, що запускаються у системі, які антивірусні програми можуть знаходити і блокувати, зловмисники використовують комбінації із застосуванням безфайлових методів. Таким чином заражаються кінцеві точки, не залишаючи при цьому артефактів, які можна було б виявити антивірусом. Контроль усіх кінцевих точок, що взаємодіють з ресурсами компанії, ускладнюється і тим, що їх кількість і різноманітність зростає з величезною швидкістю.
За даними дослідження IBM 52% атак через кінцеві пристрої були реалізовані через шкідливе ПО. Атаки-вимагачі та шкідливі програми, які знищують дані, уже обійшлися бізнесу в середньому в 4,44 млн та 4,27 млн американських доларів відповідно.
Про рішення безпеки кінцевих точок
У забезпеченні безпеки кінцевих точок на ринку присутні дві категорії засобів: запобігання і блокування загроз (EPP) та розширене виявлення і реагування (EDR). У них є спільна задача з протидії загрозам. Для її досягнення продукти використовують різні підходи та функціональні можливості.
Об'єднуючим елементом цих рішень виступає антивірусне рішення, яке для систем класу EPP працює в режимі блокування, а для EDR є одним із двигунів, орієнтованим на виявлення складних загроз у їх комплексі з іншими механізмами визначення. Окремо варто відзначити, що в рішеннях класу EPP включена також функціональність із контролю додатків і пристроїв, веб-контролю, оцінці вразливостей, патч-менеджменту, URL-фільтрації, шифрування, мережевому екрануванню та інше.
Ринок рішень даного класу активно розвивається і формується, тому сьогодні більшість постачальників почали об'єднувати свої підходи в забезпеченні як ефективного виявлення, так і запобігання. Тенденція об'єднання рішень EPP і EDR є позитивною для споживачів цих технологій і, найімовірніше, продовжить розвиватися в цьому напрямку, що має привести до ефективної синергії цих рішень.
Що відбувається всередині самих компаній
Варто зазначити, що понад три чверті оприлюднених у засобах масової інформації випадків, які пов'язані з компрометацією, стосувалися безфайлових методів. Опублікована інформація про успішно проведені атаки на різні державні та комерційні організації – це всього лише маленька частина від їх реальної кількості. Із впевненістю можна стверджувати, що кількість кіберінцидентів і рівень їх наслідків набагато вищий, ніж зазначається.
Так, згідно дослідження незважаючи на зростання ризиків безпеки, пов'язаних із віддаленою роботою, лише 47% організацій цілодобово стежать за своїми мережами, і лише 50% шифрують конфіденційні дані, що зберігаються на пристроях.
Разом із тим, компанії, які планують використовувати функціональність із виявлення складних загроз на кінцевих точках, стикаються з тим, що співробітники департаменту безпеки не володіють необхідними знаннями.
Перехід від простого адміністрування ІТ-відділу рішень EPP до необхідності залучення Endpoint Detection and Response – рішень (EDR) призводить до потреби в інженерах із безпеки й аналітиків загроз із достатнім рівнем знань і досвіду.
Нормальної і поширеною практикою є залучення зовнішніх експертів, які розуміють, як отримати вигоду з платформи EDR і організувати ефективний процес реагування на інциденти.
Як ефективніше захищати бізнес
Популярних систем класу Endpoint Protection Platform (EPP) вже стає недостатньо. Вони створювалися за часів іншого ландшафту загроз і були спрямовані в основному на запобігання масовим атаками. Ці рішення не орієнтовані на протидію складним і комплексним загрозам на кінцевих точках.
Сучасний захист потребує адаптації до складних загроз і має включати функціональність із виявлення комплексних атак, спрямованих на кінцеві точки і, разом із тим, оперативно реагувати на нові знайдені інциденти.
Тому і виникла необхідність у продуктах класу Endpoint Detection and Response (EDR) для розширеного виявлення складних загроз. Тільки спільне використання цих двох технологій, балансу між власною експертизою і використанням сторонніх сервісів дозволяє організаціям домогтися дійсно високих показників захисту.
Спостерігаючи за еволюцією загроз від масових до спрямованим, бачимо необхідність у додаванні до автоматичного блокування простіших загроз, ефективне виявлення спрямованих складних загроз. Крім того, необхідна зміна фокусу від захисту окремих робочих місць до безпеки цілого підприємства із залученням не тільки фахівців ІТ-департаменту, а й фахівців з інформаційної безпеки й аналітиків. Вони потрібні для подальшого розслідування інцидентів, оперативного реагування та виявлення нових загроз.
Автори матеріалів OpenMind, як правило, зовнішні експерти та дописувачі, що готують матеріал на замовлення редакції. Але їхня точка зору може не збігатися з точкою зору редакції Mind.
Водночас редакція несе відповідальність за достовірність та відповідність викладеної думки реальності, зокрема, здійснює факт-чекінг наведених тверджень та первинну перевірку автора.
Mind також ретельно вибирає теми та колонки, що можуть бути опубліковані в розділі OpenMind, та опрацьовує їх згідно зі стандартами редакції.
