+22 голоса |
Антивирусные решения, основанные на специфических сигнатурах и универсальном и эвристическом обнаружении, недостаточны для того, чтобы справиться с потоком новых, сложных вариантов вредоносных программ, которые продолжают заражать системы компаний с более низким уровнем защиты. Как же должна выглядеть информационная безопасность в меняющейся среде?
В антивирусной лаборатории PandaLabs компании Panda Security в 2019 г. зарегистрировали и проанализировали 14,9 млн. вредоносных событий, остановив 7,9 млн. потенциально нежелательных программ (ПНП), а также 76 тыс. предупреждений об эксплойтах, предназначенных для использования уязвимостей в приложениях, сетях или оборудовании, чтобы описать в отчете (PDF) основные угрозы ИБ и тенденции.
Эти данные подкрепляют идею, лежащую в основе модели информационной безопасности, отталкивающейся от факта, что реактивная (работающая «постфактум») безопасность больше не подходит. В любой ИТ-среде существует слишком много угроз и слишком много векторов атак, которые могут привести к нарушению. Сегодня решения в области ИБ должны быть предсказуемыми, проактивными и готовыми реагировать на любой инцидент, который может возникнуть.
Основные тенденции развития технологий информационной безопасности в первом квартале 2020 г.
Кибер-преступники становятся все более скрытными, охотно пользуясь ошибками, скрывая свои перемещения и обходя технологии обнаружения, особенно в облаке, через мобильные приложения и в сетях.
Фактически, кибер-преступники преследуют три цели:
- Финансовая выгода, используя шифровальщики для вымогательства денег у своих жертв в обмен на восстановление украденной у них информации;
- Данные, которые могут быть проданы в «теневом Интернете»;
- Контроль над инфраструктурой, сетями или другими важными системами. Этот доступ продается третьим лицам, например, спецслужбам, политическим группам, военизированным группировкам и др.
Как им это удается? Вот некоторые из главных кибер-угроз начала 2020 г.:
- Шифровальщики (этот пресловутый пример вредоносного ПО) по-прежнему вездесущи. Одного щелчка мыши достаточно, чтобы парализовать всю сеть, перехватить контроль над безопасностью и покончить с резервными копиями, чтобы нанести как можно больший ущерб в кратчайшие сроки. Любая организация может стать жертвой шифровальщика, как мы видели всего несколько месяцев назад на волне атак, которые обрушились на государственные и частные учреждения по всему миру.
- Безфайловые атаки вызывают все большую озабоченность: их труднее обнаружить и они помогают кибер-преступникам проводить скрытую атаку. Кибер-преступники меняют способ атаки, а потому они более не нуждаются в каком-то конкретном файле для взлома сети, как мы проанализировали зарегистрированные нами атаки типа Living-off-the-Land.
- Проактивный Threat Hunting теперь является важным и необходимым решением для распознавания аномального и вредоносного поведения в результате использования эксплойтов в надежных и легитимных приложениях.
- Решения информационной безопасности больше не могут основываться на одной технологии: они требуют подхода, основанного на многоуровневой технологии, в сочетании с позицией «нулевого доверия» (zero trust), чтобы остановить возможные нарушения безопасности. Эти многоуровневые технологии обеспечивают беспрецедентный уровень контроля, видимости и гибкости. Это то, что необходимо в динамичной войне против неизвестных злоумышленников. Такие решения определяют, работают ли на устройствах доверенные приложения с точки зрения безопасности конечных устройств.
Растет число взаимосвязанных конечных устройств, от рабочих станций до ноутбуков и серверов. Все эти конечные устройства требуют подхода, сочетающего в себе передовую защиту (EPP) и технологии обнаружения атак на конечные устройства и реагирования на них (EDR), основанные на позиции безопасности с «нулевым доверием» и поддерживаемые искусственным интеллектом. Применение этих технологий к решению вопросов ИБ является необходимым изменением в том, как отрасль решает проблему кибер-угроз. Такой подход подчеркивает идею возможности запуска только невредоносных объектов (goodware), т.е. известных, зарегистрированных и классифицированных процессов, которые могут работать на конечном устройстве, гарантируя, что неизвестные и вредоносные процессы не могут выполняться.
Современные угрозы требуют такого развития информационной безопасности, которая эволюционировала от одиночных технологических решений к многоуровневым решениям, использующим среди прочего поведенческий мониторинг для устранения постоянных угроз повышенной сложности, безфайловых атак и других вредоносных действий.
Это привело к созданию многоуровневой технологической модели в сочетании с системой безопасности с «нулевым доверием», которая не позволяет неизвестным процессам работать на любых конечных устройствах сети. Такая технология обеспечивает два ключевых преимущества:
- Команды безопасности не должны выполнять углубленный анализ предупреждений. Необходимость проводить такие анализы вручную может означать необходимость нанимать больше сотрудников или оставлять непроверенные предупреждения, что приводит к повышенным рискам безопасности.
- Если команда безопасности должна все же перепроверить эти предупреждения, то их MTTD и MTTR (среднее время обнаружения/ответа) будут выше, чем у нас. Отсрочка принятия решения даже на несколько минут может иметь серьезные негативные последствия для потенциального воздействия злоумышленника или нарушения данных.
Детальнее с выводами специалистов Panda Security можно ознакомиться в отчете (PDF).
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+22 голоса |