Почему базовые методы защиты не помогают от целенаправленных кибератак?

Почему базовые методы защиты не помогают от целенаправленных кибератак?

Хоть многие компании и понимают необходимость прокачивать свою информационную безопасность, но чаще всего используют стандартные способы защиты: антивирусы, брандмаузеры, WEB-прокси, антиспам и тому подобное.

Злоумышленники уже давно пошли дальше — и в своих атаках обходят эту защиту. Действуют точечно и ювелирно.

Давайте разбираться. Из каких этапов состоит целевая атака, и как всё же защитить бизнес?

Анализ

Хакеры собирают максимум информации о вашей IT-инфраструктуре, бизнес-процессах, сотрудниках, оргструктуре, чтобы обнаружить уязвимые места.

Каким образом? Ищут информацию в открытых источниках, интернет-ресурсах, запускают к вам в ПО шпионов. Обычно левая активность фиксируется сетевыми устройствами, но сложно ее обнаружить из-за большого объема данных.

Гораздо лучше помогают заметить аномалии системы IDS/IPS на каналах выхода в интернет, а также продукты Deception Network, которые сбивают атакующих с толку.

Подбор средств для атаки

Вариантов множество, все зависит от особенностей вашей инфраструктуры. Злоумышленники могут запустить обычный фишинговый сайт, который откроет ваш сотрудник в письме, или создать эксплойты (фрагменты кода, которые используют уязвимости вашего ПО и захватывают систему).

Предотвратить атаку может помочь надежное облачное хранилище, если вы его используете — обычно оно идентифицирует подозрительные угрозы еще до атаки и защищает от кражи информацию.

Запуск атаки

Например, злоумышленники отправляют фишинговое письмо на корпоративную почту с вирусом. Способы могут быть очень хитрыми — в 2020 году хакеры вставили вирус в .jpg файл, и это позволило обойти большинство средств защиты, которые не анализируют вложения слишком глубоко. Обычные веб и почтовые прокси не защитят от таких атак.

Могут помочь шлюзы веб и Email, которые производят комплексное сканирование с TI feeds и песочницами. А в облачных системах помогает CASB (Cloud Access Security Broker – Защита доступа в облачные среды).

Использование уязвимостей для доступа к данным

Злоумышленники захватывают ваши системы, чтобы выудить ценную информацию или впоследствии шантажировать вас.

Для борьбы необходимо, чтобы ваши антивирусы и средства защиты могли обнаружить попытку эксплуатации уязвимости. Данные могут обезопасить решения класса EDR (обнаружение вредоносной активности на конечных точках) и NTBA (решения по выявлению аномального поведения в сети).

Закрепление в среде

Хакеры могут пустить корни в вашей IT-инфраструктуре, чтобы выждать момент получше или найти информацию поинтереснее. Они тщательно скрывают вредоносное ПО, чтобы обойти антивирусы и системы защиты, получить привилегированные права доступа.

Здесь также помогут решения EDR, которые анализируют активность в системах, а также SIEM (управление информацией и событиями безопасности), которые отслеживают отклонения.

Создание связи с каналами хакеров

После того, как злоумышленники запустили в ваши системы вредоносное ПО, они устанавливают канал для управления и обмена вашими данными.

На этом этапе, если у посторонних появился доступ к системе, можно предотвратить лишь основной ущерб. Помогут средства сетевой защиты IPS и NGFW, которые подключаются к глобальным базам репутаций IP-адресов. Базу нужно приобретать по подписке, и многие российские компании хоть и используют сетевую защиту, пренебрегают этой простой, но эффективной возможностью.

Извлечение данных или выведение системы из строя

Это завершающий этап атаки, когда злоумышленники берут то, зачем пришли. Их инструменты достаточно продвинуты, чтобы скрыть от антивирусов активность по извлечению.

Обнаружить утечку и заблокировать ее могут DLP-системы.

Стоит сказать, что мало просто внедрить различные средства защиты, необходимо построить единую систему, которая будет информировать об угрозах.

Мы в Перегрузке можем помочь вам настроить защитную инфраструктуру и управлять ей в рамках технического обслуживания.

Безопасных вам систем.

5 комментариев

Зачастую такая защита оказывается неспособной предотвратить заранее подготовленные целенаправленные атаки на ИТ-среду.

1

На 100% невозможно защититься от любой атаки - можно только приблизиться к этому. Если следовать советам по каждому пункту (которые на текущий момент относятся к самым передовым решениям), то вероятность атаки гораздо меньше.

Естественные угрозы - это угрозы, вызванные воздействиями на АС и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

1

Комментарий недоступен

Ну, что же вы выдумываете - никто такого не писал) Если хотите, следуйте рекомендации - если не хотите, не следуйте. Мы пишем только о том, что мы можем