`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Пять трендов кибербезопасности в условиях пандемии

Microsoft изучила изменения, произошедшие в первые два месяца пандемии в области цифровой трансформации и информационной безопасности. В исследовании приняли участие около 800 руководителей в области ИБ в компаниях с численностью сотрудников более 500 человек из Индии, Германии, Великобритании и США.

Результаты исследования отразили пять основных трендов в области кибербезопасности:

  1. Безопасность – основа для обеспечения продуктивности в эпоху цифровых технологий. Повышение производительности при удаленной работе является основным приоритетом руководителей бизнес-подразделений по обеспечению ИБ (41%), а «распространение технологий защиты данных на большее количество приложений для удаленной работы» респонденты назвали самым положительным явлением для пользователей в этой области. Неудивительно, но «предоставление безопасного удаленного доступа к ресурсам, приложениям и данным» одновременно является и самой сложной задачей. Большинство опрошенных компаний в качестве первого шага на пути к этой цели назвали внедрение системы многофакторной аутентификации.

Пять трендов кибербезопасности в условиях пандемии

  1. Все находятся на пути к концепции «Никому не доверяй» (Zero Trust). Концепция в первые же дни пандемии из интересной возможности превратилась в бизнес-приоритет. В свете перехода на удаленную работу 51% руководителей в сфере ИБ ускоряют развертывание архитектуры Zero Trust. В результате концепция может стать отраслевым стандартом, поскольку 94% компаний сообщают, что они в той или иной степени уже внедряют элементы Zero Trust.
  2. Больше различных наборов данных – больше информации о возможных угрозах. Пандемия позволила оценить возможности облачных технологий. Компания Microsoft ежедневно отслеживает более 8 трлн. сигналов об угрозах из самых разных источников (продуктов, сервисов, подписок на индикаторы компрометации и т.д.) по всему миру. Автоматизированные инструменты помогли специалистам по безопасности выявлять новые угрозы до того, как они достигнут клиентов – иногда за доли секунды. Облачные фильтры и средства обнаружения угроз также позволили предупреждать службы безопасности о подозрительном поведении, что было крайне актуальным для бизнеса, поскольку 54% руководителей служб безопасности сообщили об увеличении количества фишинговых атак с начала пандемии. Об успешных фишинговых атаках значительно чаще сообщали компании, которые описали свои ресурсы как преимущественно локальные (36%), по сравнению с 26% в компаниях, которые опираются на облачную инфраструктуру.
  3. Кибербезопасность является основой для операционной отказоустойчивости. Поскольку все больше организаций предоставляют сотрудникам решения безопасной удаленной работы. Облачные технологии упрощают разработку комплексной стратегии обеспечения защиты и непрерывности бизнеса в условиях активных киберугроз (киберустойчивости) и подготовку к широкому спектру непредвиденных обстоятельств. Более половины компаний, использующих облачные или гибридные технологии, сообщают о наличии стратегии киберустойчивости для большинства сценариев, по сравнению с 40% организаций, опирающихся на локальную инфраструктуру, из которых 19% вообще не имеют такого плана в документированном виде.
  4. Облако является необходимым условием эффективного обеспечения безопасности. В то время как специалисты часто думали о безопасности как о наборе решений для развертывания поверх существующей инфраструктуры, такие события, как масштабный переход на удаленную работу, демонстрируют необходимость внедрения систем интегрированной безопасности для компаний любого размера.

Помимо этого, с момента начала пандемии более 80% компаний нанимали специалистов в сфере безопасности. Большинство руководителей служб ИБ сообщили об увеличении бюджета на ИБ (58%) и соответствие нормативным требованиям (65%), чтобы адаптироваться к многочисленным последствиям пандемии для бизнеса.

Пять трендов кибербезопасности в условиях пандемии

В то же время 81% из них также сообщили о необходимости снизить затраты на ИБ компании в целом. Чтобы сократить расходы в краткосрочной перспективе, руководители работают над улучшением систем интегрированной защиты от угроз для значительного снижения риска ущерба от кибератак. Почти 40% предприятий заявляют, что в долгосрочной перспективе отдают предпочтение инвестициям в облачную безопасность, за которыми следуют безопасность данных и информации (28%) и антифишинговые инструменты (26%).

Как правильно расставить приоритеты в защите информации

Основная цель злоумышленников состоит в том, чтобы получить и расширить доступ к ресурсам организации, закрепиться там и ждать возможности украсть или зашифровать как можно больше конфиденциальной информации, чтобы получить наибольшую прибыль.

Специалистам по защите необходима прозрачность во всех ресурсах и автоматическое сопоставление признаков вредоносной деятельности в электронной почте, идентификационных данных, конечных точках и облачных приложениях, чтобы увидеть полную картину атаки. Только тогда специалисты по защите смогут «вылечить» зараженные устройства, применить условный доступ (Conditional Access) и предотвратить повторение таких же или похожих атак.

Хотелось бы напомнить какие средства защиты встроены в продукты Microsoft, и предложить вариант того, как можно правильно расставить приоритеты.

Вы можете защищать конечные устройства с помощью Microsoft Defender ATP — до пяти устройств лицензированных пользователей одновременно, которые легко подключить в любое время. Стоит обратить внимание, что Microsoft Defender ATP отслеживает угрозы на всех платформах, включая macOS.

Включите многофакторную проверку подлинности (MFA) и контроль доступа по условию через Azure Active Directory для защиты идентификационных данных. Сейчас, когда пользователи работают из дома, как никогда важно избегать компрометации учетных данных. Настоятельно рекомендую подключать все приложения — от SaaS до локальных приложений — к Azure AD для единого входа, включать MFA и применять политики доступа по условию, а также предоставлять безопасный доступ подрядчикам и партнерам. Вы также можете задействовать бесплатную службу Azure AD для единого входа, включая MFA с использованием приложения Microsoft Authenticator.

Почтовые ящики и учетные записи электронной почты можно защитить с помощью Office 365 ATP. Эта облачная служба фильтрации поставит надежный барьер против фишинга и вредоносных программ. Она также включает функции для защиты вашей организации от нарушений политики обмена сообщениями, целевых атак, уязвимостей нулевого дня и вредоносных URL-адресов. Интеллектуальные рекомендации от Security Policy Advisor помогут уменьшить распространение макроатаки, а служба Office Cloud Policy Service упростит внедрение базовых показателей безопасности.

Еще один сервис - Microsoft Cloud App Security - поможет защититься от использования теневой ИТ-инфраструктуры и несанкционированных приложений. Плюс к этому он позволяет выявлять и прекращать атаки в облаке, а также контролировать передачу данных между облачными приложениями разных производителей.

Microsoft Threat Protection сопоставляет сигналы из всех этих источников, используя Azure ATP, Microsoft Defender ATP, Office 365 ATP и Microsoft Cloud App Security, чтобы понять всю цепочку атаки. Это позволяет CISO определить, какие угрозы необходимо устранить в первую очередь, и автоматически восстановить поврежденные учетные записи, почтовые ящики, конечные устройства и облачные приложения до безопасного состояния.

Cредства анализа угроз Microsoft учитывают сигналы не только от одного вектора атаки (такого как фишинговые письма), а сразу по всем направлениям, включая электронные письма, идентификаторы, конечные устройства и облачные приложения, чтобы понять, как меняется ландшафт угроз, и встроить эти знания в наши продукты для предотвращения разрастания и усиления атак. Встроенные средства автоматического устранения атак в этих решениях помогают уменьшить нагрузку на специалистов по защите, возрастающую из-за появления множества новых устройств и соединений.

Хотел бы также обратить внимание на Azure Sentinel — полностью облачное решение SIEM, которое объединяет данные анализа из Microsoft Threat Protection и Azure Security Center, а также журналов любых сторонних и клиентских приложений, чтобы облегчить специалистам по безопасности обнаружение, рассмотрение и расследование угроз по всему предприятию. Как и во всех продуктах Microsoft Security, клиенты Azure Sentinel получают преимущества интеллектуального анализа угроз для обнаружения и поиска атак. Решение позволяет легко добавлять новые источники данных и масштабировать существующие, используя встроенные рабочие книги, поисковые запросы и аналитику, чтобы помочь в идентификации угроз, их приоритизации и реагирования на них. Недавно был представлен блокнот для поиска угроз, связанных с COVID-19, в Azure Sentinel.

Средства защиты, предоставляемые облаком, важны, чтобы получать актуальные обновления и исправления безопасности. Если вы еще не используете их, настоятельно рекомендую это делать.

В заключение хотел бы также напомнить, что в Microsoft работают 3500 специалистов в области информационной безопасности. Эта команда очень тщательно следит за ландшафтом угроз, их главная задача — помогать, предоставляя ресурсы и рекомендации, а для критических случаев предлагается поддержка таких служб, как Microsoft Detection and Response (DART, группа обнаружения и реагирования), чтобы помочь в расследовании и исправлении ситуации.

Растет число угроз, спекулирующих на теме COVID-19

Большей части мира пришлось перейти на работу из дома — и это уже неоспоримый факт. Все это означает, что теперь больше людей и устройств получают доступ к конфиденциальным корпоративным данным через домашние сети.

Специалисты по защите работают круглосуточно, обеспечивая безопасность не только конечных устройств, но и идентификационных данных, электронной почты и приложений. Ни у кого, по большому счету, не было времени подготовиться к этому, и многие клиенты были просто вынуждены начать работать в новой среде и быстро решать возникающие задачи.

Все почтовые ящики, телефоны, телевизоры и новости полны сообщениями о COVID-19, информация поступает постоянно. Это ошеломляет, и злоумышленники об этом знают. Они знают, что многие переходят по ссылкам не глядя, потому что возрос уровень тревоги, и они пользуются этим. Вот почему наблюдается рост успешности атак с применением фишинга и социальной инженерии. Дело не в том, что у злоумышленников внезапно стало больше ресурсов для обмана пользователей. Они просто добавляют ключевые слова, связанные с COVID-19, в уже имеющуюся инфраструктуру, включая вымогательские программы, фишинговые кампании и другие механизмы доставки вредоносных программ, чтобы сделать ссылки актуальными.

В борьбе с атакующими в такой ситуации помогут интеллектуальные решения со встроенными автоматизированными средствами упреждающей защиты, обнаружения, реагирования и предотвращения подобных атак. Они способны отслеживать вредоносную активность везде (это ключевое слово): в электронной почте, в идентификационных данных, в конечных устройствах и в приложениях.

Команды Microsoft, занимающиеся анализом угроз, активно отслеживают сегодняшнее смещение акцентов и реагируют на него. Наши данные показывают, что угрозы, спекулирующие на теме COVID-19, не сильно отличаются от уже существующих способов атаки, а просто слегка изменены, чтобы была связь с этой пандемией. Это означает, что мы наблюдаем смену приманки, а не всплеск атак. Анализ показывает, что эти атаки укладываются в привычные колебания ландшафта угроз.

В каждой стране мира была по крайней мере одна атака на тему COVID-19. Число успешных атак в странах, пострадавших от эпидемии, растет по мере усиления страха и желания получить информацию.

Новейшие, но уже широко распространенные семейства вредоносных программ TrickBot и Emotet очень активно действуют и актуализируют приманки, чтобы спекулировать на пандемии. На сегодняшний день специалисты Microsoft насчитали 76 вариантов угроз по всему миру, пользующихся темой COVID-19.

Microsoft отслеживает тысячи фишинговых кампаний, в рамках которых каждую неделю рассылаются миллионы вредоносных сообщений. Фишинговая кампания — это не просто одно целевое электронное письмо для одного целевого пользователя. Это могут быть сотни или тысячи вредоносных писем, нацеленных на сотни или тысячи пользователей, поэтому такие кампании очень эффективны. Из миллионов целевых сообщений, которые мы видим каждый день, примерно 60 тыс включают вредоносные вложения или вредоносные URL-адреса, прикрывающиеся темой COVID-19.

Хотя это число кажется очень большим, важно отметить, что это менее двух процентов от общего объема угроз, которые мы активно отслеживаем и ежедневно предотвращаем. Такая статистика подтверждает, что общий объем угроз не увеличивается, но злоумышленники меняют свои методы, пользуясь страхом. Они рассылают письма от имени известных организаций, таких как Всемирная организация здравоохранения, Центры по контролю и профилактике заболеваний и министерства здравоохранения отдельных стран, чтобы проникнуть в почтовые ящики.

За один день репутационный фильтр SmartScreen просматривает и обрабатывает более 18 тыс вредоносных URL-адресов и IP-адресов, использующих тему COVID-19. Это еще раз показывает, что злоумышленники становятся более агрессивными и гибкими в подготовке атак: используя те же методы доставки, но чаще меняя вредоносные URL-адреса, они пытаются обойти защиту на основе машинного обучения.

Один из примеров — система Advanced Threat Protection в Microsoft Office 365 предотвратила крупную фишинговую кампанию, в которой использовалась поддельная страница входа в Office 365 для сбора учетных данных. За 24 часа было обнаружено около 2300 уникальных HTML-вложений с недостоверной информацией о финансовой компенсации пострадавшим от COVID-19, рассылаемых в рамках этой кампании.

Microsoft продолжает выявлять и отслеживать подобные угрозы, создавать упреждающие средства защиты от них во всех своих продуктах для обеспечения безопасности. Когда клиенты подвергаются таким атакам, компания уведомляет их об этом напрямую, чтобы ускорить расследования.

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT