Автор
KL FC Bot
Почему даже крупные компании с существенными инвестициями в ИБ регулярно становятся жертвами взлома? Наиболее частый ответ: устаревший подход к безопасности. Защитники пользуются десятками инструментов, но при этом не могут достаточно полно видеть, что происходит внутри их сети — которая теперь чаще всего включает не только привычные физические, но и облачные сегменты. Хакеры активно пользуются украденными учетными записями, действуют через взломанных подрядчиков организации и стараются использовать минимум явно зловредного ПО, предпочитая вполне легальный софт и «инструменты двойного назначения». В такой ситуации инструменты, просто защищающие компьютеры фирмы от вредоносного ПО, могут быть недостаточно эффективны для выявления хорошо продуманных кибератак.
По результатам недавнего опроса, 44% директоров по ИБ жалуются, что пропустили утечку данных, причем 84% связывают это с невозможностью анализировать трафик, особенно зашифрованный. Именно детальный анализ всего трафика организации, включая внутренний, значительно повышает возможности защитников, а реализовать его можно с помощью перспективных систем Network Detection and Response (NDR). В линейке продуктов «Лаборатории Касперского» функциональность NDR реализована в рамках Kaspersky Anti Targeted Attack Platform (KATA).
Старых инструментов ИБ недостаточно
Если описать приоритеты современных злоумышленников всего одним словом, это будет слово «скрытность». И шпионские APT, и атаки банд кибервымогателей, и любые другие угрозы, нацеленные на конкретную организацию, прикладывают существенные усилия, чтобы не быть обнаруженными и затруднить анализ их действий постфактум. Наш отчет о реагировании на инциденты демонстрирует это во всей красе: атакующие пользуются учетными записями настоящих сотрудников или подрядчиков, применяют в атаке только ИТ-инструменты, которые уже есть в системе и применяются сисадминами организации (Living off the Land), а также эксплуатируют уязвимости, позволяющие выполнять нужные задачи от имени привилегированных пользователей, процессов и устройств. В качестве одной из опорных точек в атаках все чаще задействуются пограничные устройства, такие как прокси-сервер или межсетевой экран.
А чем на это отвечает служба ИБ? Если подход к обнаружению угроз в компании проектировался несколько лет назад, возможно, у защитников просто нет инструментов, чтобы вовремя обнаружить такую активность.
Межсетевые экраны — в своем традиционном виде защищают только периметр организации и не помогают обнаруживать подозрительную сетевую активность внутри периметра (например, захват атакующими новых компьютеров).
Системы обнаружения и предотвращения вторжений (IDS/IPS) — имеют весьма ограниченные возможности классических IDS для детектирования активности по зашифрованным каналам, а их типичное расположение на границе раздела сетевых сегментов делает обнаружение бокового перемещения затруднительным.
Антивирусы и системы защиты конечных точек — сложно использовать для обнаружения активности, полностью ведущейся легитимными инструментами в ручном режиме. Более того, в организации всегда есть роутеры, IoT-устройства или сетевая периферия, на которых этой системы защиты и не может быть в принципе.
View the full article
Автор KL FC Bot
Рекомендуемые сообщения