Перейти к содержанию

Меры для повышения киберустойчивости бизнеса | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Серьезные киберинциденты — хороший повод улучшить ситуацию в сфере не только ИБ, но и IT. Руководство готово выделять ресурсы и искренне заинтересовано в позитивных изменениях, но нужно реалистично оценивать масштабы работ и бюджета. Какие меры внесут наибольший вклад в предотвращение новых инцидентов и минимизацию последствий?

Процесс подготовки к будущим кибератакам называется повышением киберустойчивости (cyber-resilience). Это не просто теоретическое «улучшение защиты». Киберустойчивость — это способность организации работать в условиях кибератаки или другого киберинцидента. Она подразумевает наличие технических и организационных мер для обнаружения, реагирования и восстановления после подобных инцидентов, способность адаптироваться и извлекать из них уроки. Это понятие включено в стандарт ISO/IEC 27001.

На практике запрос многих организаций звучит проще и понятнее: «как сделать, чтобы ransomware к нам не влезли, а если все же влезут, чтобы ничего не испортили»? На этот вопрос мы и постараемся ответить.

С чего начать?

Список методологий и продуктов, которые могут сыграть роль в предотвращении атак и уменьшении их последствий, почти бесконечен. Выставлять приоритеты надо, оценивая риски и ущерб от различных ИБ-инцидентов, предотвращая наиболее вероятные атаки из фреймворка ATT&CK и применяя один из многочисленных плейбуков по снижению конкретных рисков (пример 1, пример 2). Но есть важные первые шаги. Чтобы не распылять усилия, мы рекомендуем ориентироваться на несколько фундаментальных решений, эффект от внедрения которых настолько значителен, что остальные проекты почти наверняка стоит отложить, пока эти «основы» не реализованы. Все решения из списка значительно снижают риск самых распространенных атак, упрощают реагирование на инциденты и снижают ущерб, если проникновение все же произошло.

Если чего-то из этого списка в организации нет, внедрение желательно начать сегодня.

Мы будем много раз подчеркивать, что описанные технологии надо внедрять «на всех компьютерах организации». Это означает — на всех применяемых для работы устройствах (включая ноутбуки и смартфоны, в том числе и личные), всех серверах, виртуальных и контейнеризованных нагрузках. Здесь есть крупный подводный камень — теневое IT. Возможно, вы не знаете о существовании каких-то компьютеров и серверов. Поэтому начать стоит с инвентаризации всех IT-активов, чтобы политики гарантированно покрывали всю инфраструктуру организации.

EDR — Endpoint Detection and Response

Все компьютеры, включая серверы и виртуальные машины, должны иметь установленный агент EDR с активированными функциями по блокировке угроз. EDR — одна из базовых технологий защиты, объединяющая функции «антивируса» с мониторингом и реагированием, нужными для более сложных ИБ-систем.

Убедитесь, что вы можете получать телеметрию со всех компьютеров, поскольку она потребуется любому внутреннему или внешнему ИБ-специалисту для быстрого разбора возможных инцидентов. Лидирующие производители, такие как «Лаборатория Касперского», автоматически блокируют значительное большинство рядовых киберугроз, поэтому убедитесь, что функции по блокировке известной вредоносной активности включены на всех компьютерах согласно единой политике.

MFA — MultiFactor Authentication

По разным оценкам, от 60 до 80 процентов кибератак начинаются с воровства учетных записей. Именно поэтому защищать доступ к компьютерным системам одним только паролем давно нельзя, его слишком легко подобрать, угадать, украсть. В систему можно пускать только после многофакторной аутентификации пользователя. Чаще всего факторов два (пароль и код), поэтому ее нередко называют двухфакторной. Наиболее экономически эффективны решения на базе приложения-аутентификатора, но в зависимости от специфики организации и должности сотрудника это может быть и любая комбинация из приложения, USB-токена, биометрии и так далее. В целом MFA рекомендована для всех систем организации, но в приоритетном порядке разворачивать ее нужно для сервисов, которые доступны извне, например e-mail и VPN.

Защищенные резервные копии

Резервные копии давно уже защищают организацию не только от пожаров и отказа оборудования. Они помогают и от ряда кибератак. Вымогатели прекрасно об этом знают, и почти каждая атака ransomware сопровождается целенаправленным удалением резервных копий информации. Поэтому стратегия резервного копирования должна учитывать все сценарии: оперативное восстановление из легкодоступной копии на случай поломки оборудования или другого IT-инцидента и гарантированное восстановление в случае атаки шифровальщика. Весьма вероятно, что для этого потребуются две разные резервные копии. Устойчивостью к ransomware обладают копии, хранящиеся на физически отключенных от сети носителях (это не очень удобно, но надежно), а также копии на «неизменяемом» облачном хостинге, где данные можно дописывать, но не заменять и удалять (это удобно, надежно и, возможно, дорого). После того как «неудаляемая» резервная копия создана, проведите учения по восстановлению данных из нее, чтобы убедиться в том, что это возможно, и заодно оценить время на восстановление (это, кроме всего прочего, позволит вашей команде быстрее справиться с задачей в случае реальной атаки).

Управление приложениями и патчами

На всех компьютерах организации, будь то десктоп, виртуальный сервер или ноутбук сотрудника в командировке, должны быть установлены инструменты, которые позволяют администраторам управлять машиной дистанционно. Среди критически важных действий — диагностика компьютера (проверка наличия и уточнение версии приложений, проверка состояния сети, работоспособности VPN, обновлений EDR и так далее), установка приложений и обновлений, проверка на уязвимости и тому подобное.

Эти инструменты крайне важны как в повседневной работе, так и во время противодействия инциденту. При повседневной работе они обеспечивают хорошую кибергигиену, например установку важных обновлений безопасности на всех компьютерах в короткий срок. Во время инцидентов может потребоваться, например, запуск специализированной утилиты на всех компьютерах организации или установка сертификата — и только системы администрирования позволяют сделать это в разумные сроки, в том числе для дистанционных сотрудников.

Для решения такой задачи лучше всего подходят UEM-системы, позволяющие управлять разнообразными устройствами, включая корпоративные и личные компьютеры и смартфоны, и применять к ним политики компании. Но можно вооружиться и более узкоспециализированными решениями, такими как системы патч-менеджмента, VNC/RDP и так далее.

Уникальные пароли

Управление привилегированным доступом и безопасность учетных данных (identity security) — очень широкая тема. Грамотно выстроенная identity security повышает защищенность организации, одновременно упрощая жизнь сотрудников. Но полноценная реализация ее принципов может быть длительным проектом, поэтому в качестве первого шага можно избавиться от самых больших проблем, в частности, убедиться, что каждый компьютер в организации защищен уникальным паролем локального администратора. Используйте бесплатное решение LAPS для внедрения этой меры. Эта простая предосторожность не позволит атакующим быстро двигаться по сети, компрометируя компьютеры один за другим с помощью одного и того же пароля.

Минимизация уязвимых сервисов

Регулярно сканируйте IP-адреса организации из Интернета, чтобы убедиться, что в глобальную сеть не «выглядывают» серверы и сервисы, которые должны быть доступны только в локальной сети компании. Если в Интернете неожиданно «засветился» ненужный сервис, быстро примите меры, чтобы заблокировать доступ к нему извне. Если же сервис действительно должен быть доступен из Интернета, регулярно применяйте к нему обновления безопасности и защитите его с помощью MFA. Особенно важны эти меры для таких излюбленных хакерами мишеней, как консоли веб-управления, RDP, Telnet/SSH, SMB, SNMP, FTP. Предполагайте, что любой сервис, видимый из Интернета, сканируют на уязвимости, простые пароли и прочие дефекты практически ежедневно.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Меры для безопасной разработки и использования ИИ | Блог Касперского
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
    • KL FC Bot
      Инструменты контейнерной безопасности и их польза для бизнеса
      От KL FC Bot
      Три из четырех организаций в мире используют гибридные облака, и три четверти из них называют свои проекты по миграции и обновлению ИТ успешными. Но что такое успех и как успешный ИТ-проект влияет на бизнес и возможности компании? Этим вопросом задались авторы исследования «Модернизация корпоративных приложений» и обобщили доступную информацию о том, как переход к облачной и контейнерной инфраструктуре повлиял на деятельность компаний, совершивших эту трансформацию.
      Экономические аргументы в пользу перехода получились весомые. В изученных организациях в среднем на 31% снизились операционные расходы на ИТ, а инфраструктурные затраты — на 45%, в том числе затраты на рутинное обслуживание уменьшаются на 52%. Что более важно — впервые за многие годы бизнесы смогли разгрузить свои ИТ-команды от задач по техподдержке старого кода в пользу новых разработок. В крупных организациях ИТ-службы тратят до 80% бюджета на поддержку legacy, и переход на современную разработку не только ее ускоряет, но и высвобождает дополнительные кадры для инноваций. Циклы обновлений ПО ускоряются в итоге на 65%, обеспечивая быструю реакцию на рыночные изменения и лучшее удовлетворение нужд пользователей.
      «Тремя китами» эффективности, которые отвечают за все эти радикальные улучшения, авторы называют переход на контейнерные и микросервисные архитектуры в облачной среде, а также автоматизированные сборочные конвейеры.
      Часть исследования посвящена вопросам информационной безопасности. Благодаря этому можно увидеть, какой вклад вносят различные инструменты ИБ в повышение эффективности ИТ-разработки и к каким показателям стоит стремиться в своей организации. Мы решили проанализировать основные принципы и инструменты и объяснить, как они реализованы в обновленной версии Kaspersky Cloud Workload Security.
      Автоматическое применение и отслеживание политик ИБ
      Ключевым вызовом для ИТ и ИБ является сохранение видимости и контроля над всеми ИТ-активами, и эта задача усложнилась с переходом на гибридные облачные инфраструктуры. Разнообразие активов и инструментов управления ими оборачивается для компании ростом расходов и затрат времени на менеджмент этого «зоопарка». Поэтому унификация управления, контроля соответствия (Compliance), создания и применения политик должна быть одной из приоритетных целей в проектах ИТ-трансформации. Если выбранный набор инструментов ИБ способен решать эту задачу в облачной инфраструктуре компании, службы ИТ и ИБ сэкономят 73% времени, затрачиваемого на менеджмент политик и достижение Security Compliance.
      Практическое воплощение этого принципа можно увидеть в новой версии Kaspersky Cloud Workload Security, решения, обеспечивающего комплексную защиту контейнерных инфраструктур, облачных серверов и виртуальных машин. Сразу несколько инструментов упрощают работу с политиками и дают администраторам централизованный обзор и управление всей инфраструктурой.
      Функция анализа безопасности оркестратора и его кластеров помогает быстро находить проблемы, структурируя их по типам проблем. Автоматическое профилирование контейнеров позволяет с минимальным участием людей улучшать политики безопасности, применяемые в инфраструктуре, а также находить аномально работающие контейнеры для детального анализа.
      Унифицированная облачная консоль Kaspersky Security для виртуальных и облачных сред дает общий обзор облачной или гибридной инфраструктуры и позволяет мгновенно обновлять политики для больших групп ИТ-активов или одновременно запускать на них задачи.
      Что касается виртуальных и физических серверов, то легкий агент, осуществляющий их защиту, выполняет несколько функций, связанных с Compliance и Security Posture, в автоматическом режиме: от автоматического патч-менеджмента и харденинга системы до детального протоколирования событий и применения ролевой системы управления доступом (RBAC).
       
      View the full article
    • KL FC Bot
      Защита от спама: как его распознать и как с ним бороться | Блог Касперского
      От KL FC Bot
      «Здравствуйте, это ваш дальний родственник из Нигерии. Дело в том, что я болен смертельной болезнью, другой родни у меня нет, поэтому хочу еще при жизни перечислить вам свое наследство в размере $100 млн», — сообщения с подобным посылом приходили на почту, наверное, каждому пользователю Интернета. Эти письма прозвали «нигерийскими», потому что мошенники представлялись богатыми и состоятельными людьми из Нигерии. Сейчас на смену «богатым нигерийским четвероюродным дядям по маминой линии» приходят фейковые представители банков, онлайн-магазинов, служб доставок и даже президенты.
      Сегодня расскажем про самые популярные виды спама и ответим на вопрос, что делать, если на почту пришел спам.
      Письма от инвесторов, меценатов и прочих богачей
      Это, пожалуй, самый древний и вместе с тем популярный сценарий спама. Даже в 2025 году в почту стучатся всевозможные благодетели, жаждущие отдать свои кровные именно вам. Подобные письма выглядят как под копирку: якобы невероятно богатый человек рассказывает про источник своего богатства, описывает свою проблему и предлагает ее решение. Обо всем по порядку:
      Источником богатства может быть что угодно: наследство, невероятно прибыльный бизнес в далекой стране или даже внезапно обнаруженный криптокошелек с миллионами денег. Проблема тоже вариативна: от смертельной болезни до желания пожертвовать все свои деньги на благотворительность — и сделать это нужно обязательно с вашей помощью. Решение всегда одно — нужно как можно скорее перевести деньги на ваш счет. Конечно, если в ответ на такое письмо вы отправите свои глубочайшие соболезнования и номер банковской карты, то никто не перечислит вам ни миллионы, ни даже тысячи денег. Наоборот, мошенники будут всеми правдами и неправдами вынуждать вас перевести им свои средства. Как вариант, оплатить несуществующую комиссию на перевод их миллионов денег.
      Не стоит верить письму, даже если оно отправлено якобы президентом США. Сейчас спамеры на волне популярности Дональда Трампа запустили новую-старую мошенническую схему: рассылают потенциальным жертвам письма, в которых представляются Дональдом Трампом, почему-то решившим отправить по $15 млн нескольким десяткам счастливчиков по всему миру. Получить миллионы можно, лишь отправив ответное письмо, где фейковый мистер Дональд Трамп попросит перейти по ссылочке и ввести свои банковские данные либо оплатить комиссию за перевод средств на ваш счет.
       
      View the full article
    • KL FC Bot
      Что делать, если взломали Ватсап: пошаговая инструкция | Блог Касперского
      От KL FC Bot
      Ваш аккаунт в мессенджере может быть интересен не только ревнивым супругам или слишком любопытным сослуживцам. На украденных учетных записях WhatsApp построен масштабный криминальный бизнес — от рассылки спама до сложных мошеннических схем. Поэтому чужие ватсап-аккаунты нужны преступникам постоянно, и они стараются получить их всеми возможными способами. Вот восемь признаков того, что вашим аккаунтом, возможно, уже пользуются хакеры.
      Вам отвечают на сообщения, которых вы не отправляли. Друзья жалуются, что от вас приходят странные сообщения. Вы заходите в чат и видите в нем удаленные сообщения, в том числе от вас, — а вы ничего не отправляли и не удаляли. Вам неожиданно пришел код подтверждения для входа в WhatsApp, который вы не запрашивали. У вас опубликованы статусы (сториз), которые вы не устанавливали. Фото, имя и описание в вашем аккаунте WhatsApp вдруг изменились. У вас появились чаты и сообщества, в которые вы не вступали. Вы входите в свой мессенджер, а он говорит, что этот аккаунт используется на другом устройстве и надо заново регистрироваться (это самый очевидный признак). Особого внимания и немедленной реакции заслуживают первые три признака — преступники часто используют взломанный аккаунт, чтобы обмануть ваших друзей и близких. Они могут от вашего имени просить деньги на неотложные нужды, обещать подарки или приглашать поучаствовать в голосовании. В любом из этих случаев ваши друзья станут жертвами мошенничества — с вашей невольной помощью.
      Две разновидности угона WhatsApp
      Злоумышленники могут пользоваться вашим аккаунтом одним из двух способов. Либо они добавляют к вашему аккаунту еще одно устройство через функцию «Связанные устройства», либо заново регистрируют на своем устройстве ваш аккаунт, как будто это вы купили новый телефон.
      В первом случае вы продолжаете пользоваться WhatsApp как обычно, но параллельно к нему имеют доступ преступники, в том числе видят вашу свежую переписку.
      Во втором случае вы теряете доступ к аккаунту, при входе в WhatsApp приложение говорит, что теперь этот аккаунт используется на другом устройстве. Преступники могут управлять вашим аккаунтом, но не видят вашей старой переписки.
       
      View the full article
×
×
  • Создать...