Перейти к содержанию

Меры для повышения киберустойчивости бизнеса | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Серьезные киберинциденты — хороший повод улучшить ситуацию в сфере не только ИБ, но и IT. Руководство готово выделять ресурсы и искренне заинтересовано в позитивных изменениях, но нужно реалистично оценивать масштабы работ и бюджета. Какие меры внесут наибольший вклад в предотвращение новых инцидентов и минимизацию последствий?

Процесс подготовки к будущим кибератакам называется повышением киберустойчивости (cyber-resilience). Это не просто теоретическое «улучшение защиты». Киберустойчивость — это способность организации работать в условиях кибератаки или другого киберинцидента. Она подразумевает наличие технических и организационных мер для обнаружения, реагирования и восстановления после подобных инцидентов, способность адаптироваться и извлекать из них уроки. Это понятие включено в стандарт ISO/IEC 27001.

На практике запрос многих организаций звучит проще и понятнее: «как сделать, чтобы ransomware к нам не влезли, а если все же влезут, чтобы ничего не испортили»? На этот вопрос мы и постараемся ответить.

С чего начать?

Список методологий и продуктов, которые могут сыграть роль в предотвращении атак и уменьшении их последствий, почти бесконечен. Выставлять приоритеты надо, оценивая риски и ущерб от различных ИБ-инцидентов, предотвращая наиболее вероятные атаки из фреймворка ATT&CK и применяя один из многочисленных плейбуков по снижению конкретных рисков (пример 1, пример 2). Но есть важные первые шаги. Чтобы не распылять усилия, мы рекомендуем ориентироваться на несколько фундаментальных решений, эффект от внедрения которых настолько значителен, что остальные проекты почти наверняка стоит отложить, пока эти «основы» не реализованы. Все решения из списка значительно снижают риск самых распространенных атак, упрощают реагирование на инциденты и снижают ущерб, если проникновение все же произошло.

Если чего-то из этого списка в организации нет, внедрение желательно начать сегодня.

Мы будем много раз подчеркивать, что описанные технологии надо внедрять «на всех компьютерах организации». Это означает — на всех применяемых для работы устройствах (включая ноутбуки и смартфоны, в том числе и личные), всех серверах, виртуальных и контейнеризованных нагрузках. Здесь есть крупный подводный камень — теневое IT. Возможно, вы не знаете о существовании каких-то компьютеров и серверов. Поэтому начать стоит с инвентаризации всех IT-активов, чтобы политики гарантированно покрывали всю инфраструктуру организации.

EDR — Endpoint Detection and Response

Все компьютеры, включая серверы и виртуальные машины, должны иметь установленный агент EDR с активированными функциями по блокировке угроз. EDR — одна из базовых технологий защиты, объединяющая функции «антивируса» с мониторингом и реагированием, нужными для более сложных ИБ-систем.

Убедитесь, что вы можете получать телеметрию со всех компьютеров, поскольку она потребуется любому внутреннему или внешнему ИБ-специалисту для быстрого разбора возможных инцидентов. Лидирующие производители, такие как «Лаборатория Касперского», автоматически блокируют значительное большинство рядовых киберугроз, поэтому убедитесь, что функции по блокировке известной вредоносной активности включены на всех компьютерах согласно единой политике.

MFA — MultiFactor Authentication

По разным оценкам, от 60 до 80 процентов кибератак начинаются с воровства учетных записей. Именно поэтому защищать доступ к компьютерным системам одним только паролем давно нельзя, его слишком легко подобрать, угадать, украсть. В систему можно пускать только после многофакторной аутентификации пользователя. Чаще всего факторов два (пароль и код), поэтому ее нередко называют двухфакторной. Наиболее экономически эффективны решения на базе приложения-аутентификатора, но в зависимости от специфики организации и должности сотрудника это может быть и любая комбинация из приложения, USB-токена, биометрии и так далее. В целом MFA рекомендована для всех систем организации, но в приоритетном порядке разворачивать ее нужно для сервисов, которые доступны извне, например e-mail и VPN.

Защищенные резервные копии

Резервные копии давно уже защищают организацию не только от пожаров и отказа оборудования. Они помогают и от ряда кибератак. Вымогатели прекрасно об этом знают, и почти каждая атака ransomware сопровождается целенаправленным удалением резервных копий информации. Поэтому стратегия резервного копирования должна учитывать все сценарии: оперативное восстановление из легкодоступной копии на случай поломки оборудования или другого IT-инцидента и гарантированное восстановление в случае атаки шифровальщика. Весьма вероятно, что для этого потребуются две разные резервные копии. Устойчивостью к ransomware обладают копии, хранящиеся на физически отключенных от сети носителях (это не очень удобно, но надежно), а также копии на «неизменяемом» облачном хостинге, где данные можно дописывать, но не заменять и удалять (это удобно, надежно и, возможно, дорого). После того как «неудаляемая» резервная копия создана, проведите учения по восстановлению данных из нее, чтобы убедиться в том, что это возможно, и заодно оценить время на восстановление (это, кроме всего прочего, позволит вашей команде быстрее справиться с задачей в случае реальной атаки).

Управление приложениями и патчами

На всех компьютерах организации, будь то десктоп, виртуальный сервер или ноутбук сотрудника в командировке, должны быть установлены инструменты, которые позволяют администраторам управлять машиной дистанционно. Среди критически важных действий — диагностика компьютера (проверка наличия и уточнение версии приложений, проверка состояния сети, работоспособности VPN, обновлений EDR и так далее), установка приложений и обновлений, проверка на уязвимости и тому подобное.

Эти инструменты крайне важны как в повседневной работе, так и во время противодействия инциденту. При повседневной работе они обеспечивают хорошую кибергигиену, например установку важных обновлений безопасности на всех компьютерах в короткий срок. Во время инцидентов может потребоваться, например, запуск специализированной утилиты на всех компьютерах организации или установка сертификата — и только системы администрирования позволяют сделать это в разумные сроки, в том числе для дистанционных сотрудников.

Для решения такой задачи лучше всего подходят UEM-системы, позволяющие управлять разнообразными устройствами, включая корпоративные и личные компьютеры и смартфоны, и применять к ним политики компании. Но можно вооружиться и более узкоспециализированными решениями, такими как системы патч-менеджмента, VNC/RDP и так далее.

Уникальные пароли

Управление привилегированным доступом и безопасность учетных данных (identity security) — очень широкая тема. Грамотно выстроенная identity security повышает защищенность организации, одновременно упрощая жизнь сотрудников. Но полноценная реализация ее принципов может быть длительным проектом, поэтому в качестве первого шага можно избавиться от самых больших проблем, в частности, убедиться, что каждый компьютер в организации защищен уникальным паролем локального администратора. Используйте бесплатное решение LAPS для внедрения этой меры. Эта простая предосторожность не позволит атакующим быстро двигаться по сети, компрометируя компьютеры один за другим с помощью одного и того же пароля.

Минимизация уязвимых сервисов

Регулярно сканируйте IP-адреса организации из Интернета, чтобы убедиться, что в глобальную сеть не «выглядывают» серверы и сервисы, которые должны быть доступны только в локальной сети компании. Если в Интернете неожиданно «засветился» ненужный сервис, быстро примите меры, чтобы заблокировать доступ к нему извне. Если же сервис действительно должен быть доступен из Интернета, регулярно применяйте к нему обновления безопасности и защитите его с помощью MFA. Особенно важны эти меры для таких излюбленных хакерами мишеней, как консоли веб-управления, RDP, Telnet/SSH, SMB, SNMP, FTP. Предполагайте, что любой сервис, видимый из Интернета, сканируют на уязвимости, простые пароли и прочие дефекты практически ежедневно.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Вам опять причитается много денег | Блог Касперского
      Автор KL FC Bot
      Мошенники постоянно что-нибудь «раздают»: то бесплатные подписки в Telegram, то криптовалюту, то NFT-кроссовки. В новой схеме все по-простому: «раздают» сразу деньги — точнее, делятся способом, как их якобы законно можно получить.
      Жулики с помощью ИИ создали двухминутный ролик, где «журналИИсты» и одна знаменитость рассказывают байки: «Каждый человек может получить компенсацию, для этого нужно всего лишь…». Читайте эту историю, чтобы узнать, что просят сделать жертв и как теперь мошенники завлекают людей в свои схемы.
      Как действуют мошенники
      В рамках этой кампании были разработаны фишинговые сайты, на которых как раз и размещалось видео. Вы не сможете найти его на YouTube или других видеохостингах (извините, но ради вашей безопасности мы тоже им не поделимся), потому что там подобный ИИ-контент довольно-таки быстро удаляют. С подконтрольными злоумышленникам сайтами все сложнее, особенно когда ссылки на них рассылают в почте и мессенджерах.
      Теперь о самом интересном: о видео. Выглядит оно как свежий выпуск бразильских новостей, но с одним нюансом. Новости — фейковые, они «сняты» без согласия журналистов. Мошенники в качестве фактуры использовали настоящий выпуск новостей, на который наложили закадровую озвучку, сделанную с помощью ИИ, а также синхронизировали движения губ с новым текстом. Итак, ИИ-клоны реальных журналистов рассуждают о «нарушениях», допущенных одним из популярнейших банков страны.
      «Банковские балансы клиентов уменьшаются без всякой причины или даже полностью обнуляются». «Несправедливо блокируются счета». «Процентные ставки по кредитам завышаются». Часть фейковой статьи, созданной ИИ для этой схемы
       
      View the full article
    • KL FC Bot
      Исследование «Лаборатории Касперского»: что интересует детей в 2025 году | Блог Касперского
      Автор KL FC Bot
      Интернет огромен и забрести в нем туда, куда не нужно, — очень легко. Особенно если ты ребенок. Поэтому так важно помогать свои детям ориентироваться в киберпространстве и направлять их в мир доступного и понятного контента. Но как разобраться, что хорошо, а что плохо, если сам слабо ориентируешься в детском контенте?
      На помощь приходит приложение Kaspersky Safe Kids — с его помощью мы собрали статистику за целый год и теперь готовы любому взрослому ответить на вопрос «а что мой ребенок делает в Интернете?».
      Эксперты «Лаборатории Касперского» провели исследование и выяснили, что дети ищут в Сети и на YouTube, какие приложения используют на своих смартфонах, какие игры любят, какую музыку слушают и каких блогеров смотрят. В полной версии отчета вы можете найти ответы на эти и другие связанные вопросы.
      Ищут brainrot-мемы
      Мы выяснили, что категория «Мемы» (4,87%) — в топе контента, который дети ищут на YouTube. Да, в общем списке запросов ожидаемо лидируют музыка (21,11%) и блогеры (17,17%), но мемы (4,87%) следуют прямо за мультиками (6,19%). Что касается вкуса детей в мемах, то они довольно-таки специфичны. Прямо сейчас у детей по всему миру очень популярен brainrot-контент.
      Мемы Italian Brainrot сейчас — номер один у детей всего мира
      Если вы активный пользователь TikTok, то, скорее всего, вас не удивит трехногая акула в кроссовках или крокодил в виде бомбардировщика, а на вопрос «кто сильнее: Tralalero Tralala или Tung Tung Tung Sahur?» вы уверенно назовете своего фаворита. А если вы читаете эти строчки и не поняли ни слова, то объясняем: это главные действующие лица новых brainrot-мемов. Они пришли на смену скибиди туалетам, и их… любят дети по всему миру!
       
      View the full article
    • KL FC Bot
      CVE-2025-33053: RCE в WebDAV | Блог Касперского
      Автор KL FC Bot
      Июньским вторничным обновлением компания Microsoft среди прочих проблем закрыла CVE-2025-33053, RCE-уязвимость в Web Distributed Authoring and Versioning (WebDAV, расширении протокола HTTP). Microsoft не называет ее критической, однако три факта намекают на то, что установить свежие патчи стоит как можно скорее:
      достаточно высокий рейтинг по шкале CVSS 3.1 — 8,8; замечена эксплуатация в реальных атаках; Microsoft озаботилась выпуском патчей для ряда устаревших, более не поддерживаемых версий своей операционной системы. Что за уязвимость CVE-2025-33053 и что такое WebDAV?
      В какой-то момент пользователям Интернета потребовался инструмент, позволяющий совместно работать над документами и управлять файлами на удаленных веб-серверах. Для решения этой задачи специальная рабочая группа создала DAV, дополнение к протоколу HTTP. Поддержка нового протокола была реализована в том числе в штатном для Windows браузере Microsoft Internet Explorer.
      Казалось бы, в начале 2023 года Internet Explorer был окончательно отключен, однако как мы уже писали, браузер все еще жив. Ряд его механизмов до сих пор используется в сторонних приложениях, да и в новом браузере Microsoft Edge. Поэтому злоумышленники продолжают искать уязвимости, которые можно проэксплуатировать при помощи IE. CVE-2025-33053 — одна из таких. Она позволяет атакующим запустить произвольный код, если жертва кликнет по ссылке и перейдет на контролируемый ими WebDAV-сервер. То есть все что требуется от атакующих — убедить жертву в необходимости перейти по ссылке.
      Точный принцип работы эксплойта под эту уязвимость пока публично не раскрыт, однако по информации исследователей, нашедших CVE-2025-33053, эксплуатация происходит за счет манипуляций с рабочей директорией «легитимного инструмента Windows».
       
      View the full article
    • KL FC Bot
      Чек-лист для подготовки к безопасному отпуску от «Лаборатории Касперского» | Блог Касперского
      Автор KL FC Bot
      Современный человек практически не расстается со своими девайсами. Согласно исследованию, проведенному в США аналитической компанией Reviews.org, за 2024 год среднестатистический пользователь потратил на смартфон примерно 2,5 месяца жизни. Это колоссальная цифра, показывающая, насколько глубоко мобильные устройства интегрировались в нашу повседневную жизнь.
      Цифровой детокс — это модное название простого отдыха от экранов и уведомлений, который пойдет на пользу всем, у кого есть смартфон или ноутбук. Согласно обзору десяти исследований, проведенных с 2013 по 2023 год, цифровой детокс способствует улучшению качества сна, удовлетворенности жизнью и субъективного благополучия, а также помогает уменьшить тревогу, стресс, депрессию и зависимость от телефона. К тому же регулярная цифровая разгрузка помогает восстановить способность мозга к длительной концентрации внимания и глубокой обработке информации.
      Однако полное отключение от Сети несет в себе риски для вашей цифровой жизни. Сегодня мы разберемся, как дать голове отдохнуть, сохранив при этом контроль над аккаунтами, устройствами, данными и даже умным домом.
      Что может случиться во время цифрового детокса?
      Всего предусмотреть невозможно, но «постелить соломку» для минимизации последствий некоторых рисков вам вполне по силам. Что это за риски?
      Кража аккаунтов — как обычных, так и экосистемных, вроде аккаунтов «Яндекса», «ВКонтакте», Google, Apple, Samsung, Xiaomi и так далее — через подбор паролей или подмену SIM-карт (SIM Swapping). Несанкционированные подписки и списания средств. Утечка личных данных из-за сливов паролей или отсутствия двухфакторной аутентификации. Угон аккаунтов в мессенджерах и соцсетях. Использование ваших устройств и аккаунтов для рассылки спама. Утеря или кража ваших гаджетов. Бытовые проблемы — взлом квартиры в длительное отсутствие, затопление, утечка газа или пожар.  
      View the full article
    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
×
×
  • Создать...