Популярное
Свежее
Моя лента
Обзор
Сообщения
Курсы
Темы
Крипто
Маркетинг
Деньги
Сервисы
Личный опыт
Путешествия
Карьера
Техника
Маркетплейсы
Мнения
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
ActiveCloud

Топ-5 угроз сетевой безопасности в 2023 году и как с ними бороться

Топ-5 угроз сетевой безопасности в 2023 году и как с ними бороться

После февральских событий годичной давности приоритет кибербезопасности в бизнес-повестке сильно возрос. Иностранные ИБ-продукты отключены от обновлений и поддержки, число кибератак продолжает увеличиваться. Степень вовлеченности в эту «драму» для корпораций зависит от того, какой информацией, ресурсами и средствами защиты они обладают. Одна из первых преград на пути злоумышленника - средства защиты сетевого периметра. Рассмотрим самые распространенные проблемы в этой части и варианты борьбы с ними с Антоном Грецким, директором по ИБ ActiveCloud.

Сотрудники недостаточно киберграмотны

Удаленную работу сейчас практикуют многие компании. Почти у всех существуют технологии удаленного доступа сотрудников к корпоративным ресурсам. Киберграмотность становится важным фактором защиты информационных активов. Мы проводили проверку и выяснили, что ее уровень невысок: 2/3 пользователей открыли фишинговые письма, более половины - перешли по ссылке, из них еще половина ввела свои учетные данные.

Чтобы предотвратить подобные инциденты, можно перевести доступ пользователей к VPN-шлюзу с доменных логинов и паролей на двухфакторную аутентификацию. Первым фактором будет сертификат корпоративного устройства, а вторым - одноразовый временный пароль. Так утечка доменного логина и пароля не приведет к проникновению мошенников в корпоративную сеть через VPN-шлюз. А если организация использует иностранный VPN-инструмент и он перестал обновляться и поддерживаться вендором, нужно еще провести безопасную настройку, либо перейти на отечественные аналоги.

Неготовность сетевой инфраструктуры к мощным DDoS-атакам

В наши дни основной бизнес-процесс компаний нередко связан с сервисами, которые должны быть постоянно доступны клиентам. Это веб-сайты, личные кабинеты, облачные хранилища и т.п. Если сервис не работает, он каждую минуту генерирует прямые убытки или упущенную прибыль. Злоумышленники пользуются этим. Число DDoS-атак на отечественные организации значительно выросло. Мощность некоторых достигает десятков гигабит/сек, а самая долгая DDoS-атака длилась целых 145 часов. Немногие компании готовы к такому.

Предотвратить подобные инциденты помогают аппаратные средства для защиты от DDoS- и brute force (перебор пароля) атак. Например, решения класса WAF. Если специалистов по обслуживанию такого класса решений нет, можно использовать облачные решения ActiveCloud. Другие варианты - расширить пропускную способность сети или сменить оператора связи на того, у которого есть услуги по защите от DDoS-атак.

Недооценка сетевых угроз и рисков организации

Случается, организация подвержена большому количеству угроз, и сложно оценить, насколько они критичные. Например, на предприятии операторы обрабатывают сотни сообщений в день. Возможности распознать угрозу у них физически нет. Через таких работников злоумышленники развивают многовекторные атаки. Стандартные инструменты антивирусной проверки могут пропустить угрозу, поскольку через них не проходят полные и знакомые им сигнатуры вредоносного ПО.

Что делать? Защититься от направленных атак (AntiAPT) на агентах пользователей и выявить точки распространения вредоносного трафика внутри сети. Внедрить инструмент обнаружения вторжений, контролирующий все основные потоки данных. Можно и глобально перенастроить систему антивирусной защиты – например, подключить облачную базу репутации, доработать политики безопасности, интегрировать агент AntiAPT с антивирусом. Если угрозы попадают внутрь периметра через электронную почту, проверка проводится еще до попадания зараженного письма на почтовый сервер.

Недостаточный контроль трафика

Базовый пункт в защите сети - межсетевые экраны для фильтрации всего трафика компании или хотя бы web-proxy для фильтрации входящего веб-трафика. Однако большинство иностранных продуктов сейчас недоступны для продления или обновления баз сигнатур и аналитики. Контролировать трафик в полной мере становится сложно.

Если лицензии на иностранном NGFW закончились и нет возможности их продлить, необходимо перейти на отечественное решение. Это позволит обнаруживать и блокировать атаки, регулярно пополнять базу сигнатур, сохранить аналитику угроз.

Базовый уровень безопасности сети можно обойти

Если злоумышленник преодолеет периметр сети, он может закрепиться на внутреннем ресурсе и развивать атаку, находясь в периметре компании. Выявить вредоносную активность между доверенными ресурсами помогают средства анализа сетевого трафика - Network Traffik Analyser. Инструменты NTA повышают точность обнаружения ИБ-угроз, ускоряют реагирование на ИБ-события.

Для эффективной работы NTA следует развернуть систему в сети, определить наиболее актуальные угрозы и точки мониторинга сетевого трафика, сформировать матрицу доступа (путем обучающего запуска) и правила реагирования на угрозы. Для получения данных о пользователях, их привязке к устройствам и сессиям настроить интеграцию системы с серверами Active Directory. В итоге ИБ-служба получит детализацию сведений об объёмах, структуре и направлении трафика пользователей. На случай ИБ-инцидентов должна быть возможность автоблокировки пользователей.

Вывод

От уровня проработки сетевой архитектуры зависит общая успешность мер защиты. Ведь примерно 90% взаимодействий злоумышленников в рамках атаки происходит через сеть. Правильный выбор, качественное внедрение и грамотная настройка средств защиты от сетевых угроз сделает процесс взлома для злоумышленника настолько трудоемким, что ему будет невыгодно тратить на это ресурсы.

Топ-5 угроз сетевой безопасности в 2023 году и как с ними бороться
33
Начать дискуссию