Основные тенденции ИБ начала 2020

Антивирусные решения, основанные на специфических сигнатурах и универсальном и эвристическом обнаружении, недостаточны для того, чтобы справиться с потоком новых, сложных вариантов вредоносных программ, которые продолжают заражать системы компаний с более низким уровнем защиты. Как же должна выглядеть информационная безопасность в меняющейся среде?

В антивирусной лаборатории PandaLabs компании Panda Security в 2019 г. зарегистрировали и проанализировали 14,9 млн. вредоносных событий, остановив 7,9 млн. потенциально нежелательных программ (ПНП), а также 76 тыс. предупреждений об эксплойтах, предназначенных для использования уязвимостей в приложениях, сетях или оборудовании, чтобы описать в отчете (PDF) основные угрозы ИБ и тенденции.

Эти данные подкрепляют идею, лежащую в основе модели информационной безопасности, отталкивающейся от факта, что реактивная (работающая «постфактум») безопасность больше не подходит. В любой ИТ-среде существует слишком много угроз и слишком много векторов атак, которые могут привести к нарушению. Сегодня решения в области ИБ должны быть предсказуемыми, проактивными и готовыми реагировать на любой инцидент, который может возникнуть.

Основные тенденции развития технологий информационной безопасности в первом квартале 2020 г.

Кибер-преступники становятся все более скрытными, охотно пользуясь ошибками, скрывая свои перемещения и обходя технологии обнаружения, особенно в облаке, через мобильные приложения и в сетях.

Фактически, кибер-преступники преследуют три цели:

• Финансовая выгода, используя шифровальщики для вымогательства денег у своих жертв в обмен на восстановление украденной у них информации;
• Данные, которые могут быть проданы в «теневом Интернете»;
• Контроль над инфраструктурой, сетями или другими важными системами. Этот доступ продается третьим лицам, например, спецслужбам, политическим группам, военизированным группировкам и др.

Как им это удается? Вот некоторые из главных кибер-угроз начала 2020 г.:

• Шифровальщики (этот пресловутый пример вредоносного ПО) по-прежнему вездесущи. Одного щелчка мыши достаточно, чтобы парализовать всю сеть, перехватить контроль над безопасностью и покончить с резервными копиями, чтобы нанести как можно больший ущерб в кратчайшие сроки. Любая организация может стать жертвой шифровальщика, как мы видели всего несколько месяцев назад на волне атак, которые обрушились на государственные и частные учреждения по всему миру.
• Безфайловые атаки вызывают все большую озабоченность: их труднее обнаружить и они помогают кибер-преступникам проводить скрытую атаку. Кибер-преступники меняют способ атаки, а потому они более не нуждаются в каком-то конкретном файле для взлома сети, как мы проанализировали зарегистрированные нами атаки типа Living-off-the-Land.
• Проактивный Threat Hunting теперь является важным и необходимым решением для распознавания аномального и вредоносного поведения в результате использования эксплойтов в надежных и легитимных приложениях.
• Решения информационной безопасности больше не могут основываться на одной технологии: они требуют подхода, основанного на многоуровневой технологии, в сочетании с позицией «нулевого доверия» (zero trust), чтобы остановить возможные нарушения безопасности. Эти многоуровневые технологии обеспечивают беспрецедентный уровень контроля, видимости и гибкости. Это то, что необходимо в динамичной войне против неизвестных злоумышленников. Такие решения определяют, работают ли на устройствах доверенные приложения с точки зрения безопасности конечных устройств.

Растет число взаимосвязанных конечных устройств, от рабочих станций до ноутбуков и серверов. Все эти конечные устройства требуют подхода, сочетающего в себе передовую защиту (EPP) и технологии обнаружения атак на конечные устройства и реагирования на них (EDR), основанные на позиции безопасности с «нулевым доверием» и поддерживаемые искусственным интеллектом. Применение этих технологий к решению вопросов ИБ является необходимым изменением в том, как отрасль решает проблему кибер-угроз. Такой подход подчеркивает идею возможности запуска только невредоносных объектов (goodware), т.е. известных, зарегистрированных и классифицированных процессов, которые могут работать на конечном устройстве, гарантируя, что неизвестные и вредоносные процессы не могут выполняться.

Современные угрозы требуют такого развития информационной безопасности, которая эволюционировала от одиночных технологических решений к многоуровневым решениям, использующим среди прочего поведенческий мониторинг для устранения постоянных угроз повышенной сложности, безфайловых атак и других вредоносных действий.

Это привело к созданию многоуровневой технологической модели в сочетании с системой безопасности с «нулевым доверием», которая не позволяет неизвестным процессам работать на любых конечных устройствах сети. Такая технология обеспечивает два ключевых преимущества:

• Команды безопасности не должны выполнять углубленный анализ предупреждений. Необходимость проводить такие анализы вручную может означать необходимость нанимать больше сотрудников или оставлять непроверенные предупреждения, что приводит к повышенным рискам безопасности.
• Если команда безопасности должна все же перепроверить эти предупреждения, то их MTTD и MTTR (среднее время обнаружения/ответа) будут выше, чем у нас. Отсрочка принятия решения даже на несколько минут может иметь серьезные негативные последствия для потенциального воздействия злоумышленника или нарушения данных.

Детальнее с выводами специалистов Panda Security можно ознакомиться в отчете (PDF).