`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Евгений Куликов

Как развитие средств ИБ привело к практике проактивной «охоты на угрозы»

+22
голоса

В прошлом для защиты организаций от вредоносных программ можно было полагаться на сигнатурный анализ. Такие решения эффективны и точны при обнаружении известных вирусов. Однако с развитием полиморфных техник этого стало недостаточно. Сегодня, когда лаборатории ежедневно выявляют сотни тысяч новых вредоносных образцов, требуется что-то гораздо большее.

Эвристика (вероятностная оценка того, выглядит ли файл как вариант известной вредоносной программы) и локальный поведенческий анализ («песочница») способны идентифицировать варианты известных вредоносных программ. Однако эти техники менее точны и более ресурсоемки на локальном устройстве.

Подозрительные файлы требуют проверки и оценки со стороны ИТ-эксперта, чтобы не были разрешены никакие вредоносные файлы, или, что иногда еще хуже, не было случаев ложного срабатывания, когда легитимный файл помещается на карантин, потенциально отключая систему. Все, что не идентифицировано как вредоносная программа или подозрительный процесс, разрешено для запуска, несмотря на то, что такие файлы остаются не классифицированными. И это очень высокий риск.

Традиционные решения борются с неизвестными угрозами (угрозами «нулевого дня»), обладая при этом весьма ограниченными возможностями анализа активности ИТ-процессов и скудных локальных ресурсов. Это привело к появлению другого подхода для обеспечения информационной безопасности – простая идея 100% классификации, в рамках которой ни один процесс не разрешен до тех пор, пока он не будет классифицирован как невредоносный (goodware).

Обнаруживая неизвестный процесс, современные защитные решения отправляют его (только один раз) в лабораторию для классификации. В подавляющем большинстве случаев в данный процесс осуществляется полностью автоматически (99,998%). Для небольшого числа оставшихся неизвестных процессов используются аналитики по информационной безопасности, которые вручную инспектируют, анализируют и классифицируют процессы, создавая соответствующие правила для непрерывного совершенствования автоматизированных систем обнаружения и анализа.

Такая автоматическая классификация значительно сократила потребность в ручной проверке, анализе и классификации, а соответствующий тип решения безопасности получил название Endpoint Detection and Response и был признан значительным достижением в области безопасности конечных устройств. Для обнаружения таких типов атак вам требуется полная видимость каждого процесса, происходящего на каждом конечном устройстве.

Как развитие средств ИБ привело к практике проактивной «охоты на угрозы»

Вместо того чтобы реагировать на угрозы со стороны вредоносных программ постфактум, аналитики безопасности активно участвуют в охоте на угрозы в рамках Threat Hunting. Используя накопленную за многие годы информацию, эксперты проводят активный поиск новых угроз, выдвигая и проверяя новые гипотезы для проверки данных, полученных программным решением. После доказательства каждой гипотезы, каждая новая техника обнаружения добавляется к сотням других техник и методов, реализованных в автоматизированном сервисе поиска и исследования угроз Threat Hunting & Investigation Service (THIS). Он позволяет выявлять и анализировать любые аномалии.

Если злоумышленник хочет проникнуть в вашу сеть и при этом у него достаточно средств и времени, то в конечном итоге он может достичь успеха. Вопрос не в том, сможет ли он проникнуть в сеть, а в том, когда он это сделает. Для этого применяются множество методов, включая социальную инженерию. После того как хакер получил плацдарм в вашей сети, для него может существовать масса различных целей. Если защитные решения обезоруживают хакера, не позволяя ему использовать вредоносные программы на базе файлов, он может достигать своих целей с помощью методов Living-off-the-Land (LotL), в которых используется уже установленное в системе легитимное ПО (например, PowerShell и Active Directory).

Многие организации с трудом справляются с подобными атаками потому что традиционные средства защиты не способны бороться с ними. Требуется полная видимость всех процессов, чтобы можно было понять природу контекста каждого процесса для выявления и идентификации таких угроз.

Для обеспечения безопасности организации существуют жизненно важные меры, которые необходимо предпринимать, считают специалисты Panda Security. Первое – это регулярно обновлять все системы, чтобы закрыть любые уязвимости, которые могут быть использованы злоумышленниками. Следующий шаг – это обучение всех пользователей тому, с какими кибер-рисками и угрозами сталкивается организация, и предоставление четких инструкций, как им действовать при возникновении любых инцидентов. Наконец, все системы должны быть защищены с помощью EDR-технологий, которые позволяют гарантировать, что все конечные устройства могут пользоваться всеми преимуществами самых передовых технологий в сфере информационной безопасности для защиты от сложных и неизвестных угроз и атак.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT