Перейти к содержанию

Меры для повышения киберустойчивости бизнеса | Блог Касперского

KL FC Bot
 Share

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Серьезные киберинциденты — хороший повод улучшить ситуацию в сфере не только ИБ, но и IT. Руководство готово выделять ресурсы и искренне заинтересовано в позитивных изменениях, но нужно реалистично оценивать масштабы работ и бюджета. Какие меры внесут наибольший вклад в предотвращение новых инцидентов и минимизацию последствий?

Процесс подготовки к будущим кибератакам называется повышением киберустойчивости (cyber-resilience). Это не просто теоретическое «улучшение защиты». Киберустойчивость — это способность организации работать в условиях кибератаки или другого киберинцидента. Она подразумевает наличие технических и организационных мер для обнаружения, реагирования и восстановления после подобных инцидентов, способность адаптироваться и извлекать из них уроки. Это понятие включено в стандарт ISO/IEC 27001.

На практике запрос многих организаций звучит проще и понятнее: «как сделать, чтобы ransomware к нам не влезли, а если все же влезут, чтобы ничего не испортили»? На этот вопрос мы и постараемся ответить.

С чего начать?

Список методологий и продуктов, которые могут сыграть роль в предотвращении атак и уменьшении их последствий, почти бесконечен. Выставлять приоритеты надо, оценивая риски и ущерб от различных ИБ-инцидентов, предотвращая наиболее вероятные атаки из фреймворка ATT&CK и применяя один из многочисленных плейбуков по снижению конкретных рисков (пример 1, пример 2). Но есть важные первые шаги. Чтобы не распылять усилия, мы рекомендуем ориентироваться на несколько фундаментальных решений, эффект от внедрения которых настолько значителен, что остальные проекты почти наверняка стоит отложить, пока эти «основы» не реализованы. Все решения из списка значительно снижают риск самых распространенных атак, упрощают реагирование на инциденты и снижают ущерб, если проникновение все же произошло.

Если чего-то из этого списка в организации нет, внедрение желательно начать сегодня.

Мы будем много раз подчеркивать, что описанные технологии надо внедрять «на всех компьютерах организации». Это означает — на всех применяемых для работы устройствах (включая ноутбуки и смартфоны, в том числе и личные), всех серверах, виртуальных и контейнеризованных нагрузках. Здесь есть крупный подводный камень — теневое IT. Возможно, вы не знаете о существовании каких-то компьютеров и серверов. Поэтому начать стоит с инвентаризации всех IT-активов, чтобы политики гарантированно покрывали всю инфраструктуру организации.

EDR — Endpoint Detection and Response

Все компьютеры, включая серверы и виртуальные машины, должны иметь установленный агент EDR с активированными функциями по блокировке угроз. EDR — одна из базовых технологий защиты, объединяющая функции «антивируса» с мониторингом и реагированием, нужными для более сложных ИБ-систем.

Убедитесь, что вы можете получать телеметрию со всех компьютеров, поскольку она потребуется любому внутреннему или внешнему ИБ-специалисту для быстрого разбора возможных инцидентов. Лидирующие производители, такие как «Лаборатория Касперского», автоматически блокируют значительное большинство рядовых киберугроз, поэтому убедитесь, что функции по блокировке известной вредоносной активности включены на всех компьютерах согласно единой политике.

MFA — MultiFactor Authentication

По разным оценкам, от 60 до 80 процентов кибератак начинаются с воровства учетных записей. Именно поэтому защищать доступ к компьютерным системам одним только паролем давно нельзя, его слишком легко подобрать, угадать, украсть. В систему можно пускать только после многофакторной аутентификации пользователя. Чаще всего факторов два (пароль и код), поэтому ее нередко называют двухфакторной. Наиболее экономически эффективны решения на базе приложения-аутентификатора, но в зависимости от специфики организации и должности сотрудника это может быть и любая комбинация из приложения, USB-токена, биометрии и так далее. В целом MFA рекомендована для всех систем организации, но в приоритетном порядке разворачивать ее нужно для сервисов, которые доступны извне, например e-mail и VPN.

Защищенные резервные копии

Резервные копии давно уже защищают организацию не только от пожаров и отказа оборудования. Они помогают и от ряда кибератак. Вымогатели прекрасно об этом знают, и почти каждая атака ransomware сопровождается целенаправленным удалением резервных копий информации. Поэтому стратегия резервного копирования должна учитывать все сценарии: оперативное восстановление из легкодоступной копии на случай поломки оборудования или другого IT-инцидента и гарантированное восстановление в случае атаки шифровальщика. Весьма вероятно, что для этого потребуются две разные резервные копии. Устойчивостью к ransomware обладают копии, хранящиеся на физически отключенных от сети носителях (это не очень удобно, но надежно), а также копии на «неизменяемом» облачном хостинге, где данные можно дописывать, но не заменять и удалять (это удобно, надежно и, возможно, дорого). После того как «неудаляемая» резервная копия создана, проведите учения по восстановлению данных из нее, чтобы убедиться в том, что это возможно, и заодно оценить время на восстановление (это, кроме всего прочего, позволит вашей команде быстрее справиться с задачей в случае реальной атаки).

Управление приложениями и патчами

На всех компьютерах организации, будь то десктоп, виртуальный сервер или ноутбук сотрудника в командировке, должны быть установлены инструменты, которые позволяют администраторам управлять машиной дистанционно. Среди критически важных действий — диагностика компьютера (проверка наличия и уточнение версии приложений, проверка состояния сети, работоспособности VPN, обновлений EDR и так далее), установка приложений и обновлений, проверка на уязвимости и тому подобное.

Эти инструменты крайне важны как в повседневной работе, так и во время противодействия инциденту. При повседневной работе они обеспечивают хорошую кибергигиену, например установку важных обновлений безопасности на всех компьютерах в короткий срок. Во время инцидентов может потребоваться, например, запуск специализированной утилиты на всех компьютерах организации или установка сертификата — и только системы администрирования позволяют сделать это в разумные сроки, в том числе для дистанционных сотрудников.

Для решения такой задачи лучше всего подходят UEM-системы, позволяющие управлять разнообразными устройствами, включая корпоративные и личные компьютеры и смартфоны, и применять к ним политики компании. Но можно вооружиться и более узкоспециализированными решениями, такими как системы патч-менеджмента, VNC/RDP и так далее.

Уникальные пароли

Управление привилегированным доступом и безопасность учетных данных (identity security) — очень широкая тема. Грамотно выстроенная identity security повышает защищенность организации, одновременно упрощая жизнь сотрудников. Но полноценная реализация ее принципов может быть длительным проектом, поэтому в качестве первого шага можно избавиться от самых больших проблем, в частности, убедиться, что каждый компьютер в организации защищен уникальным паролем локального администратора. Используйте бесплатное решение LAPS для внедрения этой меры. Эта простая предосторожность не позволит атакующим быстро двигаться по сети, компрометируя компьютеры один за другим с помощью одного и того же пароля.

Минимизация уязвимых сервисов

Регулярно сканируйте IP-адреса организации из Интернета, чтобы убедиться, что в глобальную сеть не «выглядывают» серверы и сервисы, которые должны быть доступны только в локальной сети компании. Если в Интернете неожиданно «засветился» ненужный сервис, быстро примите меры, чтобы заблокировать доступ к нему извне. Если же сервис действительно должен быть доступен из Интернета, регулярно применяйте к нему обновления безопасности и защитите его с помощью MFA. Особенно важны эти меры для таких излюбленных хакерами мишеней, как консоли веб-управления, RDP, Telnet/SSH, SMB, SNMP, FTP. Предполагайте, что любой сервис, видимый из Интернета, сканируют на уязвимости, простые пароли и прочие дефекты практически ежедневно.

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Меры для безопасной разработки и использования ИИ | Блог Касперского
      От KL FC Bot
      Уже сегодня технологии на базе ИИ внедрены в каждой второй компании, а за ближайшие два года к ним присоединится еще 33% коммерческих организаций. ИИ в том или ином виде будет внедрен повсеместно. Экономический эффект, который получают компании от внедрения, варьируется от повышения удовлетворенности клиентов до прямого роста выручки. По мере того как понимание сильных и слабых сторон ИИ-систем бизнесом будет углубляться, эффективность только увеличится. Но уже сейчас очевидно, что о рисках, которые несет внедрение ИИ, нужно подумать заранее.
      Даже ранние примеры внедрения демонстрируют, что цена ошибки ИИ-системы может быть высока и может выражаться в том числе во влиянии на репутацию, отношения с клиентами, здоровье пациентов и многое другое. А если учесть еще и киберфизические системы вроде автономных автомобилей, то вопросы безопасности станут еще острее.
      Внедрять безопасность постфактум, как это было с предыдущими поколениями технологий, будет дорого и порой невозможно. Чтобы в этом убедиться, достаточно найти свежие оценки ущерба, который мировой экономике наносит киберпреступность: на 2023 год это $8 трлн. Неудивительно, что страны, претендующие на технологическое лидерство в XXI веке, торопятся внедрить регулирование ИИ (например, China’s AI Safety Governance Framework, EU AI Act, US Executive Order on AI). Но в законах редко указываются технические подробности и практические рекомендации — это не их задача. Поэтому для практического применения любых регуляторных требований формата «обеспечить надежность и этичность ИИ, а также контролируемость его решений» необходимы конкретные практические рекомендации, позволяющие достичь этого результата.
      Чтобы помочь практикам, внедряющим ИИ уже сегодня, а также сделать будущее нашего мира более безопасным, специалисты «Лаборатории Касперского» при участии Эллисон Вайлд, члена команды по функциональной совместимости Сети по вопросам политики в области искусственного интеллекта Форума ООН по управлению Интернетом; доктора Мелодены Стивенс, профессора управления инновациями и технологиями школы государственного управления имени Мохаммеда бин Рашида; и Серхио Майо Масиаса, менеджера инновационных программ из Технологического института Арагона, создали набор рекомендаций. Документ был представлен в ходе семинара «Кибербезопасность в сфере ИИ: баланс между инновациями и рисками» на 19-м ежегодном Форуме по управлению Интернетом (UN Internet Governance Forum, IGF) для обсуждения с международным сообществом формирующих политику работы с AI экспертов.
      Следование описанным в документе практикам поможет инженерам, специалистам DevOps и MLOps, которые разрабатывают и затем эксплуатируют ИИ-решения, достичь высокого уровня защищенности и безопасности ИИ-систем на всех этапах их жизненного цикла. Рекомендации документа нужно индивидуально оценивать для каждого внедрения ИИ, поскольку их применимость зависит от разновидности ИИ и модели внедрения.
      Какие риски нужно учесть
      Многообразие применений ИИ вынуждает организацию учитывать очень разнородные риски:
      Риск от неиспользования ИИ. Звучит на первый взгляд забавно, но только сравнив выигрыш и потери компании от внедрения ИИ, можно правильно оценивать все остальные риски. Риски несоответствия регулированию. Быстро развивающееся регулирование ИИ делает этот риск динамичным, его нужно часто оценивать заново. Кроме регулирования ИИ как такового, нужно учитывать сопутствующие риски, например нарушения законов по обработке персональных данных. ESG-риски, то есть социально-этические риски применения ИИ, риски раскрытия чувствительной информации и риски для экологии. Риск нецелевого использования ИИ-сервисов пользователями — от шуточных до злонамеренных сценариев. Угрозы ИИ-моделям и наборам данных, применявшимся в тренировке. Угрозы сервисам компании, возникающие при внедрении ИИ. Возникающие при этом угрозы данным, которые обрабатываются в рамках этих сервисов. При этом «под капотом» трех последних групп рисков находятся все угрозы и задачи, традиционные для ИБ в сложных облачных инфраструктурах: контроль доступа и сегментация, управление уязвимостями и обновлениями, создание систем мониторинга и реагирования, контроль цепочек поставок.
       
      View the full article
    • KL FC Bot
      Железо для SIEM-системы | Блог Касперского
      От KL FC Bot
      В какой-то момент ИБ-департамент крупной компании неизбежно задумывается о внедрении или замене SIEM-системы и сталкивается с задачей оценки бюджета, необходимого для ее внедрения. Но SIEM — это не легковесный продукт, который можно развернуть в имеющейся инфраструктуре. Практически все решения этого класса требуют дополнительного оборудования, так что для их работы придется приобретать аппаратное обеспечение (или арендовать его).
      Поэтому для расчетов бюджета необходимо представлять себе предполагаемую конфигурацию оборудования. В этом посте мы попробуем рассказать о том, как архитектура SIEM влияет на требования к аппаратной составляющей, а также предоставим примерные параметры, на которые стоит ориентироваться, чтобы определить предварительную стоимость необходимого оборудования.
      Оценка потока информации
      По своей сути SIEM-система собирает данные о событиях с источников и на основании корреляции этих данных выявляет угрозы для безопасности. Поэтому, прежде чем прикидывать, какое железо необходимо для работы системы, стоит оценить, а какой, собственно, объем информации эта система будет обрабатывать и хранить. Для того чтобы понять, какие источники потребуются, следует выделить наиболее критичные риски и определить источники данных, анализ которых поможет в выявлении и анализе угроз, связанных с этими рисками. Такая оценка нужна не только для расчета необходимого аппаратного обеспечения, но и для оценки стоимости лицензии. Например, стоимость лицензии на нашу систему KUMA (Kaspersky Unified Monitoring and Analysis Platform) напрямую зависит от количества событий в секунду (Events Per Second, EPS). И еще один важный аспект — при выборе SIEM-системы важно проверить, как именно вендор считает количество событий для лицензирования. Мы, например, учитываем количество EPS после фильтрации и агрегации, причем мы считаем среднее количество событий за последние 24 часа, а не их пиковые значения, но так поступают далеко не все.
       
      View the full article
    • KL FC Bot
      Лучшие конфиденциальные сервисы в подарок | Блог Касперского
      От KL FC Bot
      До Нового года и Рождества остаются считаные дни, а перегруженные службы доставки могут опоздать и не привезти нужные подарки вовремя. Конечно, тем, кому вы еще не купили подарок, можно преподнести цифровой подарочный сертификат или подписку. Но придумать интересный и полезный вариант подписки тоже нелегко, ведь уже почти все желающие обзавелись «Яндекс.Плюсом», «VK Музыкой» и аналогами, а дарить Telegram Premium уже даже как-то неудобно.
      Выход есть! Мы предлагаем подарить один из сервисов, который день за днем будет повышать уровень конфиденциальности получателя подарка. Ведь позаботиться о приватности хотят многие, но мало у кого хватает времени и сил сделать для этого необходимые шаги, и такой подарок станет одновременно необычным — и полезным.
      За редким исключением, сервисы, акцентирующие приватность, — платные. Ведь за серверы, хранящие данные, и разработку устойчивого к взлому софта нужно платить. А если не брать с подписчиков денег, то придется продавать информацию о них рекламодателям, как это делают Google и Meta*. Поэтому годовая подписка на сервис, повышающий приватность, может стать ценным подарком и в денежном выражении.
      С нашими рекомендациями получатель подарка сможет избавиться от небезопасных офисных приложений, сервисов заметок и мессенджеров, которые пользуются хранящейся информацией не по назначению, заменив их на приватные альтернативы.
      Но перед покупкой обдумайте два неоднозначных момента.
      Во-первых, сервисы, где важна коммуникация с людьми или совместная работа, бессмысленно дарить одному человеку — так, от зашифрованного мессенджера нет толку, если в нем нет хотя бы нескольких друзей. Возможно, такой подарок нужно сделать целой команде?
      Во-вторых, удобство и функциональность приватных инструментов иногда уступают «общепринятым» аналогам, не столь уважающим конфиденциальность. Насколько это критично — зависит от нужд и привычек одариваемого.
      Сделав эти оговорки, давайте посмотрим, какие качественные приватные альтернативы популярным сервисам достойны стать рождественским или новогодним подарком.
      Офисные приложения
      Личные дневники, черновики научных работ и финансовые расчеты все сложней уберечь от посторонних глаз. Сервисы типа Google Docs всегда были полностью онлайновыми, что порождало как проблемы утечек, так и споры о том, как Google обрабатывает хранящиеся там данные. Microsoft в последние годы стремится наверстать упущенное, включая даже в офлайновый Office целый набор спорных функций: автосохранение в OneDrive, «необязательные сетевые функции«, «функции LinkedIn». Само по себе хранение данных в облаке, возможно, не вызывало бы особой тревоги, если бы не опасения, что документы будут использовать для таргетинга рекламы, тренировки ИИ или еще каких-то посторонних целей.
       
      View the full article
    • KL FC Bot
      Взломали аккаунт в Telegram: что делать | Блог Касперского
      От KL FC Bot
      Угон аккаунтов в Telegram сегодня превратился в настоящий бизнес. Мошенники не только самыми изощренными методами крадут доступы к учетным записям, но и используют их для атаки на других пользователей с помощью дипфейков, социального инжиниринга и других методов. Обычно это работает так. Украв один аккаунт, злоумышленники начинают рассылать с него по всем контактам фишинговые сообщения с текстами вроде: «Привет, мне тут срочно деньги нужны, поможешь?», «Проголосуй за меня, пожалуйста, если не сложно» или «Вам отправили подарок – подписка Телеграм Премиум сроком на 1 год», чтобы угнать еще больше аккаунтов. Есть и более изощренные схемы, манипулирующие эмоциями людей – например, предложение о бесплатной фотосессии от якобы «начинающего фотографа, которому нужно наработать портфолио».
      В подобных сообщениях всегда есть фишинговые ссылки, зачастую выглядящие совершенно легитимно — например, как https://t.me/premium — но выводящие на сайты мошенников. Перейдя по ним и выполнив предложенные злоумышленниками действия, вы с большой долей вероятности лишитесь своего аккаунта в Telegram, а все ваши контакты окажутся под угрозой мошеннических рассылок уже от вашего имени.
      Помимо этого, угнанные или поддельные аккаунты могут использоваться не только для массовых фишинговых рассылок, но и для сложных таргетированных атак, порой с использованием дипфейков, направленных на сотрудников разнообразных компаний. Возможно, вы уже сталкивались с сообщениями от якобы «руководства компании» с обращением по имени-отчеству, рассказами о неких проверках компании со стороны государственных органов и требованиями в обстановке полнейшей секретности немедленно предоставить какие-либо данные или просьбой помочь компании деньгами с последующей компенсацией. Все это — фейки.
      При этом настоящий владелец аккаунта в Telegram может поначалу даже не подозревать, что он взломан, продолжать переписываться с друзьями, читать любимые каналы и думать, что по-прежнему не интересен мошенникам. Как такое вообще возможно? Telegram позволяет использовать один и тот же аккаунт с разных устройств, и, выманив у вас доступ к вашему аккаунту, мошенники открывают еще один сеанс на своем устройстве, не закрывая ваши активные сеансы. Затем они начинают переписку с вашими контактами, тут же удаляя отправленные от вашего лица сообщения в режиме «Удалить только у меня». При этом получатели эти сообщения видят, а вы — нет.
      Как показывает практика, мошенникам интересны все — даже самые обычные пользователи Telegram. Поэтому в этом материале мы ответим на два главных вопроса: как понять, что аккаунт в Telegram взломали, и что делать, если ваш аккаунт в Telegram взломан?
      Как понять, что ваш аккаунт в Telegram взломали
      Если хотя бы один пункт из списка ниже относится к вам – скорее всего, ваш аккаунт взломан.
      У вас внезапно поменялись никнейм или аватарка, а вы этого не делали. Вы участвовали в подозрительных конкурсах, розыгрышах или голосованиях. Вы переходили по ссылкам из сообщений в Telegram и вводили данные своей учетки – номер телефона, код подтверждения и пароль. Вы случайно заметили в любой переписке появившееся от вашего имени сообщение, которое тут же было удалено. Ваши друзья пишут, что с вашего аккаунта приходят странные сообщения, а вы их не видите. Вам пришел код подтверждения для входа на новом устройстве. Теперь обо всем по порядку.
       
      View the full article
    • KL FC Bot
      Как защититься от слежки через камеру и микрофон | Блог Касперского
      От KL FC Bot
      Всего десяток лет назад на людей, заклеивающих веб-камеру пластырем, смотрели как минимум странно. Сегодня же некоторые производители ноутбуков продают устройства со встроенной шторкой — одним движением можно физически закрыть камеру. Это, конечно, полезно, но микрофон-то работать продолжает в любом случае, так что польза от такого приспособления сомнительна. А есть ли вообще смысл закрывать веб-камеру в 2024 году — или это пережиток прошлого?
      Шпионы, шпионы повсюду
      Слышали когда-нибудь про шпионское ПО? Так мы называем трояны, предназначенные для слежки. Многие представители этого семейства умеют в том числе подсматривать за своими жертвами и подслушивать их через веб-камеру и микрофон — это было актуально десять лет назад, это же актуально и сейчас. Только в те времена вредоносное ПО умело, например, только делать скриншоты с веб-камеры, а сегодня вдобавок к этому может и пароли красть из буфера обмена, и перехватывать клавиатурные нажатия, и удаленно управлять вашим устройством, и пытаться изощренно скрыться от защитных решений (в нашем случае — безуспешно). Один из примеров — недавно обнаруженный нашими экспертами троян SambaSpy.
      Что касается подсматривания, то мотивы у злоумышленников сейчас могут быть самыми разными: кому-то интересно подглядывать за девушками, другие организуют настоящую коммерческую слежку за топ-менеджером компании, а третьи добавляют в свое вредоносное ПО такую функциональность «на всякий случай» — вдруг что-нибудь интересное получится подсмотреть.
      Вариантов, как именно может быть организована слежка, — масса, и о них мы рассказывали не один раз. А вот как защищаться? Способов защиты существует достаточно много, однако всех их можно разделить на две группы: физическую и программную. И закрывать веб-камеру, отключать микрофон и проверять разрешения, выданные всем свежеустановленным приложениям, — это по-прежнему обязанность всех владельцев устройств без надежной защиты.
       
      View the full article
×
×
  • Создать...