Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Меры для повышения киберустойчивости бизнеса | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Серьезные киберинциденты — хороший повод улучшить ситуацию в сфере не только ИБ, но и IT. Руководство готово выделять ресурсы и искренне заинтересовано в позитивных изменениях, но нужно реалистично оценивать масштабы работ и бюджета. Какие меры внесут наибольший вклад в предотвращение новых инцидентов и минимизацию последствий?

Процесс подготовки к будущим кибератакам называется повышением киберустойчивости (cyber-resilience). Это не просто теоретическое «улучшение защиты». Киберустойчивость — это способность организации работать в условиях кибератаки или другого киберинцидента. Она подразумевает наличие технических и организационных мер для обнаружения, реагирования и восстановления после подобных инцидентов, способность адаптироваться и извлекать из них уроки. Это понятие включено в стандарт ISO/IEC 27001.

На практике запрос многих организаций звучит проще и понятнее: «как сделать, чтобы ransomware к нам не влезли, а если все же влезут, чтобы ничего не испортили»? На этот вопрос мы и постараемся ответить.

С чего начать?

Список методологий и продуктов, которые могут сыграть роль в предотвращении атак и уменьшении их последствий, почти бесконечен. Выставлять приоритеты надо, оценивая риски и ущерб от различных ИБ-инцидентов, предотвращая наиболее вероятные атаки из фреймворка ATT&CK и применяя один из многочисленных плейбуков по снижению конкретных рисков (пример 1, пример 2). Но есть важные первые шаги. Чтобы не распылять усилия, мы рекомендуем ориентироваться на несколько фундаментальных решений, эффект от внедрения которых настолько значителен, что остальные проекты почти наверняка стоит отложить, пока эти «основы» не реализованы. Все решения из списка значительно снижают риск самых распространенных атак, упрощают реагирование на инциденты и снижают ущерб, если проникновение все же произошло.

Если чего-то из этого списка в организации нет, внедрение желательно начать сегодня.

Мы будем много раз подчеркивать, что описанные технологии надо внедрять «на всех компьютерах организации». Это означает — на всех применяемых для работы устройствах (включая ноутбуки и смартфоны, в том числе и личные), всех серверах, виртуальных и контейнеризованных нагрузках. Здесь есть крупный подводный камень — теневое IT. Возможно, вы не знаете о существовании каких-то компьютеров и серверов. Поэтому начать стоит с инвентаризации всех IT-активов, чтобы политики гарантированно покрывали всю инфраструктуру организации.

EDR — Endpoint Detection and Response

Все компьютеры, включая серверы и виртуальные машины, должны иметь установленный агент EDR с активированными функциями по блокировке угроз. EDR — одна из базовых технологий защиты, объединяющая функции «антивируса» с мониторингом и реагированием, нужными для более сложных ИБ-систем.

Убедитесь, что вы можете получать телеметрию со всех компьютеров, поскольку она потребуется любому внутреннему или внешнему ИБ-специалисту для быстрого разбора возможных инцидентов. Лидирующие производители, такие как «Лаборатория Касперского», автоматически блокируют значительное большинство рядовых киберугроз, поэтому убедитесь, что функции по блокировке известной вредоносной активности включены на всех компьютерах согласно единой политике.

MFA — MultiFactor Authentication

По разным оценкам, от 60 до 80 процентов кибератак начинаются с воровства учетных записей. Именно поэтому защищать доступ к компьютерным системам одним только паролем давно нельзя, его слишком легко подобрать, угадать, украсть. В систему можно пускать только после многофакторной аутентификации пользователя. Чаще всего факторов два (пароль и код), поэтому ее нередко называют двухфакторной. Наиболее экономически эффективны решения на базе приложения-аутентификатора, но в зависимости от специфики организации и должности сотрудника это может быть и любая комбинация из приложения, USB-токена, биометрии и так далее. В целом MFA рекомендована для всех систем организации, но в приоритетном порядке разворачивать ее нужно для сервисов, которые доступны извне, например e-mail и VPN.

Защищенные резервные копии

Резервные копии давно уже защищают организацию не только от пожаров и отказа оборудования. Они помогают и от ряда кибератак. Вымогатели прекрасно об этом знают, и почти каждая атака ransomware сопровождается целенаправленным удалением резервных копий информации. Поэтому стратегия резервного копирования должна учитывать все сценарии: оперативное восстановление из легкодоступной копии на случай поломки оборудования или другого IT-инцидента и гарантированное восстановление в случае атаки шифровальщика. Весьма вероятно, что для этого потребуются две разные резервные копии. Устойчивостью к ransomware обладают копии, хранящиеся на физически отключенных от сети носителях (это не очень удобно, но надежно), а также копии на «неизменяемом» облачном хостинге, где данные можно дописывать, но не заменять и удалять (это удобно, надежно и, возможно, дорого). После того как «неудаляемая» резервная копия создана, проведите учения по восстановлению данных из нее, чтобы убедиться в том, что это возможно, и заодно оценить время на восстановление (это, кроме всего прочего, позволит вашей команде быстрее справиться с задачей в случае реальной атаки).

Управление приложениями и патчами

На всех компьютерах организации, будь то десктоп, виртуальный сервер или ноутбук сотрудника в командировке, должны быть установлены инструменты, которые позволяют администраторам управлять машиной дистанционно. Среди критически важных действий — диагностика компьютера (проверка наличия и уточнение версии приложений, проверка состояния сети, работоспособности VPN, обновлений EDR и так далее), установка приложений и обновлений, проверка на уязвимости и тому подобное.

Эти инструменты крайне важны как в повседневной работе, так и во время противодействия инциденту. При повседневной работе они обеспечивают хорошую кибергигиену, например установку важных обновлений безопасности на всех компьютерах в короткий срок. Во время инцидентов может потребоваться, например, запуск специализированной утилиты на всех компьютерах организации или установка сертификата — и только системы администрирования позволяют сделать это в разумные сроки, в том числе для дистанционных сотрудников.

Для решения такой задачи лучше всего подходят UEM-системы, позволяющие управлять разнообразными устройствами, включая корпоративные и личные компьютеры и смартфоны, и применять к ним политики компании. Но можно вооружиться и более узкоспециализированными решениями, такими как системы патч-менеджмента, VNC/RDP и так далее.

Уникальные пароли

Управление привилегированным доступом и безопасность учетных данных (identity security) — очень широкая тема. Грамотно выстроенная identity security повышает защищенность организации, одновременно упрощая жизнь сотрудников. Но полноценная реализация ее принципов может быть длительным проектом, поэтому в качестве первого шага можно избавиться от самых больших проблем, в частности, убедиться, что каждый компьютер в организации защищен уникальным паролем локального администратора. Используйте бесплатное решение LAPS для внедрения этой меры. Эта простая предосторожность не позволит атакующим быстро двигаться по сети, компрометируя компьютеры один за другим с помощью одного и того же пароля.

Минимизация уязвимых сервисов

Регулярно сканируйте IP-адреса организации из Интернета, чтобы убедиться, что в глобальную сеть не «выглядывают» серверы и сервисы, которые должны быть доступны только в локальной сети компании. Если в Интернете неожиданно «засветился» ненужный сервис, быстро примите меры, чтобы заблокировать доступ к нему извне. Если же сервис действительно должен быть доступен из Интернета, регулярно применяйте к нему обновления безопасности и защитите его с помощью MFA. Особенно важны эти меры для таких излюбленных хакерами мишеней, как консоли веб-управления, RDP, Telnet/SSH, SMB, SNMP, FTP. Предполагайте, что любой сервис, видимый из Интернета, сканируют на уязвимости, простые пароли и прочие дефекты практически ежедневно.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Меры для безопасной разработки и использования ИИ | Блог Касперского
      Автор KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
    • KL FC Bot
      Как видеокамера может помочь вымогателям | Блог Касперского
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • KL FC Bot
      Двадцатилетие "Автодятла" | Блог Касперского
      Автор KL FC Bot
      Мы живём в эпоху ИИ-хайпа. Искусственный интеллект там, сям, здесь и там, везде и весь такой перспективный, слегка загадочный, но непременно сопровождающий человечество в светлое будущее технологической пока ещё непонятной чёрнодырочной сингулярности.
      Вероятно, некоторый читатель мог заметить в предыдущем предложении сарказм – а зря. Автоматизация на основе машинного обучения (ещё один термин: «ML» = «machine learning»), нейросетей и прочего ИИ уже подмяла под себя многие отрасли нашей жизни, и то ли ещё будет на линии хомосапиенсного развития. Кому интересно нырнуть в тему – поищите что уже случилось по линии промышленных революций Один, Два, Три и даже Четыре.
      В этом тренде кибербезопасность была, пожалуй, одним из пионеров использования новых, умных технологий. А что мне особенно приятно и гордо в этом процессе – наша компания была одной из первых в отрасли, начавших успешно внедрять это самое светлое ИИ-будущее. А как иначе справляться, например, с почти полумиллионом (на начало 2025 года) новых зловредов каждый день? Столько экспертов ни одна образовательная система мира не выпустит. Выход один – создавать умные системы, способные самостоятельно и с высокой точностью нейтрализовывать кибератаки. Экспертам же оставлять только самые сложные случаи и, конечно, непростую задачу такие системы изобретать и постоянно докручивать.
      На днях у нас случился радостный юбилей. 20 лет назад зародился прототип самой первой ИИ/ML технологии для автоматического анализа вредоносного кода и производства «детектов» – антивирусных обновлений, которые защищают компьютеры, гаджеты и прочие устройства от новых атак.
      Технология получила с первого взгляда странное название «Автодятел». Но на самом деле здесь всё просто: «дятлами» у нас ласково и в шутку назывались эксперты-аналитики, «долбящие» вирусы обрабатывающие входящий поток подозрительных файлов, а, соответственно, «автодятел» выполнял эту работу сам. Кстати, в то время я тоже работал «дятлом».
      Покопав архивы, мы нашли не только дату рождения первого птенца автоматИИзации, но и любопытные фотографии планов по его созданию. И место рождения вспомнили. Гнездо располагалось на 14 этаже здания «Радиофизики» на Планерной, где мы тогда снимали офис. Теперь устраивайтесь поудобнее, я расскажу вам увлекательную историю. Начиналось всё примерно вот как.
      С четверть века назад зловреды и встречались куда реже, да и были куда технологичнее современных, хотя писали их пионеры-энтузиасты, изобретательные программисты-одиночки и киберхулиганы. Поэтому и исследовать их было одно удовольствие — что ни вирус, то что-то новое узнаёшь, чему-то учишься. Я тогда вместе с остальными «дятлами» собственноручно «долбил» зловредов — анализировал поток вредоносных программ, если по-научному. Разумеется, к этому моменту собрать все существующие зловреды в одну книжку как в 1992 году уже было сложновато, но тем не менее с потоком мы справлялись, а в конце каждой рабочей недели я вручную собирал обновление антивирусных баз.
       
      View the full article
    • KL FC Bot
      Техника Polyglot для маскировки зловредов | Блог Касперского
      Автор KL FC Bot
      Не так давно на нашем блоге для ИБ-исследователей Securelist вышел пост об атаке на российские промышленные предприятия с использованием бэкдора PhantomPyramid, которую наши эксперты с высокой степенью уверенности атрибутируют группе Head Mare. Атака была достаточно стандартной — письмо, якобы содержащее конфиденциальную информацию плюс архив со зловредом, пароль для распаковки которого находится прямо в теле письма. Но интересен способ, при помощи которого злоумышленники прятали свой вредоносный код в, казалось бы, безобидном файле, — для этого они использовали технику polyglot.
      Что такое техника polyglot
      В матрице MITRE ATT&CK polyglot-файлы описываются как файлы, относящиеся сразу к нескольким типам и работающие по-разному в зависимости от приложения, в котором они запущены. Используются они для маскировки зловредов — для пользователя, а также для некоторых защитных механизмов они могут выглядеть как что-то совершенно безопасное, например картинка или документ. А по факту внутри находится вредоносный код. Причем код может быть написан сразу на нескольких языках программирования.
      Злоумышленники используют самое разное сочетание форматов. Компания Unit42 исследовала атаку с применением файла контекстной справки в формате Microsoft Compiled HTML Help (расширение .chm), который одновременно является HTML-приложением (файлом в формате .hta). Исследователи также описывают применение картинки в формате .jpeg, внутри которой по факту находится PHP-архив .phar. В случае с атакой, исследованной нашими экспертами, внутри архива .zip был спрятан исполняемый код.
      .
      View the full article
    • KL FC Bot
      Что будет, если мошенники взломают «Госуслуги» | Блог Касперского
      Автор KL FC Bot
      Практически каждый день новостные сводки пестрят заголовками в духе «Известного актера развели на десятки миллионов рублей» или «Пенсионерка отдала мошенникам все свои сбережения». На днях наша читательница сама едва не стала героиней подобных новостей — целый день она была на крючке мошенников. Ей звонили фейковые сотрудники Центробанка и Следственного комитета, которые просили никому не рассказывать об этой истории и угрожали огромными штрафами.
      Сегодня расскажем эту историю от ее лица. Читайте 10 уроков, которые она вынесла после, пожалуй, самого стрессового дня своей жизни.
      Урок 1. Не отвечать на звонки в мессенджерах
      Все началось со звонка в WhatsApp. Незнакомец по ту сторону смартфона сказал, что мне должно прийти письмо от Министерства науки и высшего образования Российской Федерации (Минобрнауки России), но оно якобы застряло в сортировочном центре из-за некорректного адреса доставки, который нужно поменять.
      — Как это можно сделать?
      — Мы сейчас пришлем вам ссылку на бота почты, нужно авторизоваться через «Госуслуги» и вручную изменить адрес.
      — Хорошо, спасибо!
      Конечно, никакого письма я не ждала, но, поскольку я еще учусь в университете и большая доля переписок по учебе происходит в WhatsApp, история с письмом от Минобра меня ничуть не смутила — мало ли какие у них теперь правила? И это было первой ошибкой.
      Надежный вариант борьбы с мошенниками на раннем этапе — полностью отключить звонки с неизвестных номеров в Telegram, WhatsApp и Viber. А если этот вариант кажется вам экстремальным, то не поленитесь сбросить звонок незнакомца и в текстовом формате уточнить, что именно ему нужно.
       
      View the full article
×
×
  • Создать...