Разделы

Softline

Российский бизнес учится противостоять кибератакам новых типов

Вопросы кибербезопасности сегодня становятся особенно важны: цифровая трансформация накрывает все больше элементов инфраструктур, расширяя поверхность потенциальных атак. Благодаря этому злоумышленники могут получить больше выгоды, а организации понести серьезные убытки. К универсальным инструментам защиты компании вынуждены добавлять специфические, ориентированные на противостояние наиболее распространенным и, если так можно выразиться, модным способам кибератак.

Сегодня вектор кибератаки может быть направлен буквально на все: от сервера и уязвимости в системном программном обеспечении до принтера и холодильника — атаки через взлом периферии и ИВ-девайсов становятся все более распространенными. В методах кибератак тоже есть свои тренды: одни набирают популярность, другие «выходят из моды». Уже много лет в топе атаки методом социального инжиниринга, а также целевые атаки на предприятия.

Техники сложные, техники простые

Целевая атака, инструменты и техники которой «заточены» на конкретное предприятие с учетом его особенностей, технически крайне сложна. Она требует времени на подготовку и, зачастую, слаженных действий групп преступников с разной специализацией. Причиной тому является еще разнообразие точек приложения усилий: под удар попадают не только ИТ- и ИБ- инфраструктура, но и оргструктуры, общение с партнерами и т.д. Но от целевой (таргетированной) атаки компании всегда будет сложнее защититься, а в случае успеха она может принести киберпреступникам большие дивиденды, а взломанным, соответственно, убытки.

Фишинг, наоборот, является одним из наиболее простых в техническом плане способов атак. Что может быть проще, чем отправить электронные письма с манипулятивным содержимым, способным мотивировать человека самостоятельно выполнить нужные хакеру действия — скачать зараженный файл, перейти по ссылке на страницу со зловредным кодом, сообщить конфиденциальную информацию и т.д. Фишинг остается действенной технологией — человек был и остается самым уязвимым звеном в системе защиты — но веерные фишинговые рассылки все же не отличаются высокой эффективностью.

Однако, хакеры успешно совмещают эти две техники: в целевой атаке может быть применен фишинг в качестве одного из инструментов, а сам фишинг может быть целевым!

Целевой фишинг

Целевой фишинг «заточен» под выбранную организацию и ориентирован на определенные группы сотрудников или даже отдельных персон внутри атакуемой копании. Разумеется, тут нужна предварительная подготовка — киберпреступникам требуется выяснить структуру организации, получить из открытых источников или даркнета дополнительную информацию о сотрудниках и т.д.

После такой подготовки хакеры могут составить фишинговые письма, выглядящие довольно естественно, а поэтому с высокой долей вероятности, воспринимаемые как отправленные непосредственным руководителем, сотрудником финансово-экономических служб, ИТ-департамента или директората компании. В таком случае резко возрастает вероятность выполнения сотрудником нужных хакерам действий: перейти по ссылке, открыть вложение, сообщить имя/пароль или другие конфиденциальные данные и т.д. Высокая эффективность целевого фишинга вызывает серьезное беспокойство у специалистов по информационной безопасности.

Самые популярные методы кибератак: социальной инжиниринг, а также целевые атаки на предприятия

Как противостоять новой напасти?

Требуется системный подход, так как фильтровать вручную миллионы писем, которые получает любая организация даже среднего размера, невозможно в принципе. Разумеется, тут не поможет ни антивирус, ни файерволл, ни даже традиционный спам-фильтр (отказываться от них нельзя — угрозы, которым они противостоят, никуда не ушли!), но также становятся нужны специализированные инструменты ИБ, работающие, основываясь на других принципах.

VMware предлагает бизнесу Carbon Black — мощную облачную платформу для защиты конечных устройств в корпоративной инфраструктуре, которая ведет непрерывный мониторинг, фиксацию и анализ действий, происходящих на конечных устройствах. При возникновении подозрительной активности система поднимает тревогу, а при попытке запуска вредоносного ПО «на лету» выполнит нужные блокировки. Визуальное представление последовательности действий при атаке полезно как специалистам по ИБ, так и обычным офисным сотрудникам. При этом важно понимать, чем принципиально полезна визуализация цепочки запуска процессов: даже если в компании вместо EDR-решения используется лишь функционал NGAV, ответственные сотрудники могут погрузиться в вопросы детектирования и реагирования на не очень продвинутые атаки. Затем, уже после формирования экспертизы, можно переходить к полноценному EDR.

Чем хорош VMware Carbon Black

«Под капотом» у VMware Carbon Black есть антивирус нового поколения (NGAV), служба обнаружения и реагирования на атаки, а также система аудита и восстановления. Аналитика об угрозах, также размещенная в облаке, позволяет VMware Carbon Black успешно отражать атаки, как построенные на известных схемах, так и применяющих новые, ранее не встречавшиеся (в технологии антивирусов это называется «атаки нулевого дня»).

С технической точки зрения весьма важно, что Carbon Black — облачная-платформа: хотя она требует установки небольшого клиента на устройство пользователя, основные вычисления происходят в облаке, не занимая ресурс защищаемого устройства. Такой подход имеет ряд дополнительных преимуществ, например, позволяет компаниям всегда использовать самую свежую версию системы, дает доступ к аналитике, использующей ИИ и т.д.

Также важна гибкость решения. Есть возможность тонкой настройки Carbon Black, что позволяет специалистам ИТ-отдела и службы безопасности создавать и модифицировать политики безопасности. Например, неизвестным приложениям можно полностью заблокировать запуск или его все же разрешить, но запретить ему сетевые подключения или вызов интерпретаторов команд. Настраиваемый уровень детального контроля позволяет сочетать защиту с сохранением нужной функциональности, которая будет различна для разных групп пользователей в компании.

Более того, у платформы есть открытые API-интерфейсы, которые позволяют ей наладить взаимодействие с другими средствами информационной безопасности, работающими в инфраструктуре компании. «VMware Carbon Black интересна наличием готовых и преднастроенных коннекторов для интеграции со многими ведущими решениями безопасности от IBM, Splunk, LogRhythm и т.д.», — говорит Сердар Турмыев, пресейл инженер отдела виртуализации и резервного копирования Softline. — Помимо интеграции со сторонними решениями есть глубокая интеграция в другие продукты VMware. Это позволяет оптимизировать инфраструктуру и снизить рутинную нагрузку на специалистов по ИБ.

Вместо заключения

В современном мире ИТ-инфраструктура у корпоративных заказчиков превращается из служебной системы в актив, ИТ непосредственно участвует в создании ценностей компании, напрямую влияет на бизнес-показатели. Системы ИБ в этом плане не исключение, их внедрение и развитие напрямую влияют на обеспечение непрерывности бизнес-процессов, на снижение рисков и т.п. Поэтому к вложениям в ИБ сегодня следует относиться не как к затратам, а как к инвестициям.

В чем инвестиционная привлекательность VMware Carbon Black? Система позволяет обеспечить защиту от «модных атак», а также позволяет существенно снизить затраты на работу сотрудников «безопасников». Консолидация служб в едином агенте и переход в облака позволяет в среднем экономить 4 часа ежедневной работы ИТ-отделов и служб безопасности, а квалифицированные специалисты стоят дорого. Но финальным доводом в пользу выбора решения становится отсутствие прямых финансовых потерь, ставших следствием недостаточной защищенности компании. Возможно, даже важнее — отсутствие имиджевых потерь и доверие клиентов, которые позволяют бизнесу продолжать свое развитие.

Подписаться на новости Короткая ссылка