Только активный поиск угроз позволит противостоять киберпреступникам

Только активный поиск угроз позволит противостоять киберпреступникам

«Не предотвращать, а предупреждать» - залог успешной ИБ-стратегии. Как на практике реализовать этот принцип и как работают «охотники за угрозами», рассказывает Гавел Миколайчик, руководитель операционного центра по информационной безопасности (Security Operation Centre) компании Cisco.

image

Угрозы прячутся за большими цифрами

Киберпреступность сегодня переросла в большой бизнес, хорошо организованный и очень инновационный. Информационные системы большинства компаний постоянно находятся под угрозой атаки. При этом доля точечных действий, направленных на конкретного пользователя, сравнительно невелика: киберпреступники предпочитают прятаться за большими цифрами. В итоге мы имеем дело с огромной волной потенциально опасных объектов (таких как email-сообщения, содержащие ссылки), среди которых трудно выявить те, что наносят реальный вред. Тот самый случай иголки в стоге сена.

Приведу наглядный пример. Среднестатистическое крупное предприятие сталкивается с порядка 70 000 событий безопасности в неделю, каждое из которых требует проверки. Необходимо выяснить, скрывается ли за ним реальное нарушение безопасности. Некоторые из этих событий могут оказаться ложной тревогой. Один из клиентов Cisco, к примеру, сталкивается с примерно с 5 млн событий безопасности в год, однако лишь 500 из них приводят к подтвержденным нарушениям. Проверка такого количества ложных тревог требует значительных затрат денег и времени.

Однако невыявленные нарушения могут обойтись бизнесу гораздо дороже. Поэтому в кибербезопасности пора переходить от пассивной оборонительной роли к активному поиску угроз.

Поиск киберугроз без перерывов на обед и сон

Цунами киберугроз уже миновало ту стадию, на которой его мог нейтрализовать человек. Идентификация и подтверждение нарушений занимают чересчур много времени, оставляя «плохим парням» свободу сеять хаос. А ликвидация последствий превращается в бесконечную гонку со временем.

Поэтому целесообразно поручить охоту на угрозы технологиям ‒ таким, как сервис Cisco Advanced Threat Analytics, который работает в режиме активного поиска, постоянно анализируя сеть на предмет аномалий. Приведу пример аномалии: если сервер становится в четыре раза более активным, чем обычно, за этим вполне может скрываться киберпреступник, похищающий данные. А поскольку мошенники не придерживаются стандартного офисного распорядка, поиск угроз должен осуществляться в режиме 24 x 7, без перерывов на сон. Ввиду этого Cisco работает круглосуточно — по так называемой модели «Следуй за солнцем», выявляя киберугрозы в наших трех центрах по обеспечению безопасности, расположенных в разных уголках планеты.

Защита пользователей от «убийственной киберцепочки»

Поиск киберугроз должен стать постоянной фоновой деятельностью, поскольку человек — самое слабое звено в системе безопасности, и этот факт в первую очередь эксплуатируют преступники. Даже наиболее продвинутые из нас рано или поздно могут кликнуть по ссылке, которую открывать не следует. «Плохие парни», создали так называемую убийственную киберцепочку (cyber kill chain), состоящую из семи шагов-звеньев. Преступники постоянно просматривают сайты на предмет потенциальных целей. Как только разведка дает результат, они очень быстро переходят к фазе «приманка» — email-сообщению или посту в социальных медиа, который вводит в заблуждение пользователя, подталкивая его к небезопасным действиям. Отсюда всего лишь шаг к добавлению вредоносного файла (дроппера) в уязвимую систему. После заражения система оказывается под контролем хакеров, и они могут спокойно завладеть данными, зашифровать их или нанести повреждение операционной системе.

Реализация семи шагов этой цепочки занимает лишь несколько минут. Средний же показатель в индустрии для идентификации нарушения составляет более ста дней. Только представьте, какой ущерб можно нанести системе за более чем три месяца свободного доступа! Поэтому наш подход к выявлению угроз объединяет интеллект, аналитику, специалистов и технологии для сверхбыстрого выявления нарушений. Эта комбинация позволила уменьшить среднее время обнаружения опасности до минут. Для достижения таких показателей наши «охотники за угрозами» никогда не спят!

 

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.