Гуру как сервис
Заменить человека программой – в этом суть большинства ИТ-проектов. Однако чем опытней ИТ-специалист, тем больше он обычно уверен: без людей не обойтись, не стоит полностью доверять средствам автоматизации и контроля. Бывают случаи, когда надо проверить лично, что происходит, и на этом основании принимать решения. Разумеется, опыт позволяет четко отделять области, где хорошо налаженная автоматизация работает безупречно и параноидальные проверки ни к чему, и области, где нужна экспертиза гуру.
Ценность экспертного анализа
Особенно этот принцип близок специалистам по информационной безопасности: ведь их противники тоже люди, поэтому 100% предсказать или предотвратить их действия невозможно. Всегда остается фактор неопределенности. Защиту против угроз известных и изученных автоматизировать можно и нужно, и эта сфера постоянно расширяется. Однако в сложных, сомнительных, неоднозначных случаях не может быть лучшего способа, чем спросить спеца, которому доверяешь, чей кругозор и опыт больше твоего: «Посмотри, ну вот что это такое? Что это вообще может означать? Любое такое «странное» событие в корпоративной среде может повлечь катастрофические убытки. Более того, уметь выявить то, что «странно» на самом раннем этапе – уже ценный навык.
Эксперт, способный быстро разобраться в подозрительном случае, дорогого стоит, но держать его в штате под силу немногим организациям. Не только потому, что зарплата потребуется соответствующего уровня, но и потому, что таким гуру необходим постоянный поток сложных задач. Им нужен глобальный масштаб.
Чем занимаются исследовательские центры
У крупных вендоров решений для кибербезопасности есть собственные исследовательские центры, где постоянно ведется мониторинг и анализ сетевой активности, где выявляются угрозы, причем на самых ранних стадиях. Этап исследований предшествует созданию любых средств защиты. Системная работа по сложившейся методологии, высочайшая квалификация сотрудников и техническая возможность постоянного мониторинга дают результат.
Созданный в 2008 году «Лабораторией Касперского» глобальный центр исследования и анализа угроз (GReAT) постоянно раскрывает сложные целенаправленные атаки, включая очень крупные, мирового масштаба, в самых разных областях.
В марте 2020 года эксперты (GReAT) обнаружили целевую кампанию WildPressure по распространению троянца Milum. Он позволяет получить дистанционное управление устройствами в различных компаниях, в том числе промышленных. Большинство её жертв находится на Ближнем Востоке.
В 2019 году исследователями подразделения Kaspersky ICS CERT были обнаружены 103 новые уязвимости в области промышленной автоматизации. Число выявленных брешей увеличилось почти на 70% по сравнению с 2018 годом. Уязвимости были выявлены в наиболее часто используемом ПО систем автоматизации, промышленного контроля и интернета вещей (IoT). Бреши были зафиксированы в инструментах удалённого администрирования (34), SCADA (18), программном обеспечении для резервного копирования (10), а также продуктах интернета вещей, решениях для умных зданий, программируемых логических контроллерах и других промышленных компонентах.
Изощренное коварство сбора данных
Пример из совершенно другой области: PhantomLance. Эту угрозу, нацеленную на пользователей Android-устройств и активную как минимум уже пять лет, обнаружили специалисты «Лаборатории Касперского» в апреле текущего года. PhantomLance использует множество версий сложного шпионского ПО и тактик распространения, в том числе десятки приложений магазина Google Play. Для придания приложениям легитимного вида злоумышленники создавали фейковый профиль разработчика на GitHub, а чтобы обойти фильтры, они сначала загружали в магазины версии приложения без вредоносного кода, а затем уже вносили необходимые им обновления.
Такие изощренные техники нацелены на сбор данных частных лиц, но не меньшую опасность хищения данных представляют и для корпоративного сектора. «Мы видим множество попыток украсть логины и пароли, используемые на рабочих устройствах, поэтому следует быть очень внимательными при проведении онлайн-платежей. Сейчас, когда многие компании перешли на удалённый формат работы, особенно важно помнить об этом», — считает Олег Купреев, антивирусный эксперт «Лаборатории Касперского».
По данным «Лаборатории Касперского», 45% атак банковского вредоносного ПО в 2019 году в России были нацелены на корпоративных пользователей.
По-прежнему популярны относительно простые, но крайне опасные для бизнеса виды атак, в том числе DDos интернет-магазинов, туристических сайтов и других продуктовых площадок. В случае такой атаки провайдер не ставит под удар других своих клиентов, он просто отключает атакуемый ресурс полностью. Тщательный анализ может прояснить, какими средствами и кем организована атака, и помочь перевести решение проблемы из чисто технической плоскости в другие области. Но для этого нужно прицельно отслеживать все, что происходит с определенным веб-ресурсом или ИТ-инфраструктурой в целом.
Привлечь экспертов «Лаборатории Касперского» для мониторинга и анализа атак на корпоративные ИТ-системы вполне возможно: такая услуга предоставляется как сервис.
Противодействие угрозам нон стоп
Kaspersky Managed Protection основан на анализе расширенной телеметрии от Kaspersky Endpoint Security для бизнеса и Kaspersky Anti Targeted Attack. Они играют роль сенсоров. Если эти продукты в компании уже используются, наладить передачу нужных данных несложно, никаких переустановок и реконфигураций не потребуется. Получаемая информация агрегируется с использованием Kaspersky Security Network и сопоставляется с данными об угрозах, накопленных «Лабораторией Касперского» за все время ее существования. Если угроза распознана – будут немедленно приняты меры, если возможно автоматического реагирования, если невозможно – заказчик будет проинформирован о происходящем и даны необходимые рекомендации. Методология «Лаборатории Касперского» позволяет выявлять вредоносное ПО без файлов (file-less) и атаки без вредоносного ПО (malware-less attacks).
Самое интересное начинается, если выявлена некая вызывающая подозрения активность, не похожая на известные угрозы. Тогда уже вступают в дело аналитики, и разворачивается расследование, включающее активный поиск угроз в случае скрытых целевых атак. Возможно, используются неизвестные ранее инструменты проведения атак, или задействованы уязвимости нулевого дня. Экспертная оценка позволяет не только распознать и нейтрализовать угрозу, но и собрать информацию о возможных мотивах и целях преступников.
Комплексный подход и оценка рисков
Таким образом реализуется комплексный подход к противодействию угрозам: предотвращение атак с помощью решений линейки Kaspersky Security для бизнеса, и «ручная работа» экспертов в случае необходимости.
Тактики, процедуры и техники киберпреступников тщательно протоколируются, примененные методы и средства описываются, компания-заказчик систематически получает отчеты о происходящем. Они включают и оценки потенциального ущерба, которые предотвращенные атаки могли бы причинить. На этой базе можно с большим успехом строить стратегию защиты, выбирать адекватные средства, достоверно оценивать соотношение рисков и стоимости средств безопасности.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 03.06.2020