`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Защита конечных точек в современных условиях: инструменты и основные проблемы

+22
голоса

Мысль о том, что каждая система надёжна настолько, насколько надёжен самый слабый её элемент, особенно верна и актуальна, когда речь заходит о защите корпоративной сети и цифровых устройств от киберугроз. На роль самых уязвимых элементов в ней с успехом претендуют конечные устройства. И об этом знают не только специалисты по кибербезопасности, но и хакеры, которые используют всё более изощрённые методы, атакуя конечные точки. Какие уязвимости и методы при этом используются и как защититься от них? Отвечаем.

Новые типы угроз

Хакеры постоянно совершенствуют свои методы, многие из которых обычный антивирус просто не воспринимает как угрозу кибербезопасности. Вот только несколько примеров современных векторов атак:

  • Бесфайловые атаки — это скрипты, которые выполняются в оперативной памяти системы и практически не оставляют следов. Они не заражают файлы, не сохраняют свои данные на жёстком диске и не обнаруживаются обычными антивирусами, так как используют PowerShell.exe или wmic.exe для своего исполнения и хранят информацию о наборе команд в реестре системы. Популярность бесфайловых вредоносных программ постоянно растёт: по данным исследования Trend Micro, в январе 2018 года атак с их применением было обнаружено около 24 тысяч, а к июню этого же года — более 38 тысяч.

  • Эксплойты — далеко не все компании своевременно обновляют ПО и операционные системы в парке оборудования. В итоге это может привести к тому, что хакеры используют известные (и уже исправленные в новых версиях) уязвимости, чтобы войти в систему. По этому сценарию развивалась ситуация с программой-шифровальщиком WannaCry, которая распространялась через уязвимость в протоколе SMB. Причём уязвимость эта была известна Microsoft и устранена в свежих патчах, которые просто не были установлены на заражённых компьютерах.

  • Атаки с применением мобильных приложений — многие пользователи скачивают приложения из сторонних источников, чтобы получить их бесплатно или избавиться от надоедливой рекламы. Но вместе с такими приложениями они могут получить бонус в виде вредоносного ПО, троянских модулей и следящих за активностью пользователя процессов. Причём, шанс скачать нежелательное ПО есть и при использовании официальных магазинов Play Market и App Store, которые не всегда способны обнаружить его до публикации. Чаще всего хакеры используют для распространения своих вредоносных программ популярные категории приложений, например, VPN.

  • Атаки с применением социальной инженерии — по факту, это даже не киберугроза в прямом смысле, так как никаких вирусов и вредоносного ПО в данном случае не используется. Злоумышленники под видом партнёров или руководства компании присылают письма по электронной почте сотрудникам из финансовых служб и требуют перевести средства на свои счета. Такие атаки работают из-за постоянной загруженности сотрудников и руководства этих отделов и мимикрии «троянских» писем под обычную деловую переписку.

В целом заметна определённая тенденция: хакеры отходят от традиционных типов атак, а одним из главных векторов всё чаще становятся не только устройства и ПО, но и пользователи, которые нарушают элементарные принципы информационной безопасности. И для защиты корпоративного периметра нужны новые инструменты, которые способны не только блокировать стандартные атаки, но и распознавать новые их виды, анализировать информацию и отслеживать состояние инфраструктуры безопасности в комплексе.

Новые средства защиты

Платформы для защиты конечных устройств типа EPP (Endpoint Protection Platform) — это классические антивирусы, ПО для защиты от вредоносных программ, системы шифрования данных, файрволы и решения для защиты от вторжений и потери данных. Они справляются с известными угрозами, но новые и необычные векторы атак иногда способны их запутать. В частности, они не имеют эффективных инструментов для анализа атак и не могут определить, что отдельные зафиксированные в логах инциденты — это часть комплексной кибератаки на инфраструктуру, а бесфайловые вирусы могут просто не заметить.

Более современные решения относятся к классу EDR (Endpoint Detection and Response), и их главное преимущество — это сочетание классических инструментов из арсенала EPP и эффективной системы анализа, выявления и предупреждения атак (включая и так называемые «атаки нулевого дня»). Благодаря применению новых технологий, например, технологий ИИ, а также интеллектуальному отслеживанию и фиксации всей активности системы и её компонентов, решения EDR намного чаще выявляют и обезвреживают комплексные киберугрозы и атаки без использования «прямых» методов, например, бесфайловые атаки.

Развернутое решение класса EDR может быть дополнено службой MDR (Managed Detection & Response), то есть услугой управления обнаружением угроз и реагированием на них. Такие службы чаще всего работают «по подписке» и занимаются мониторингом безопасности заказчика в круглосуточном режиме. Они позволяют снизить нагрузку на ИТ-специалистов компаний, взяв на себя анализ событий, отсеивание ложных срабатываний и расстановку приоритетов при получении новых данных, выявление потенциальных угроз и автоматический подбор инструментов для защиты от них. Эти же службы помогают сформировать планы мероприятий по устранению угроз и предотвращению повторных атак, что особенно важно для компаний с недоукомплектованным или минимальным штатом специалистов по информационной безопасности.

В идеальной ситуации, все эти инструменты для удобства клиентов объединяются в один программный комплекс, который способен работать с любыми платформами; реагировать на обнаруженные угрозы без участия пользователей; использовать поведенческий анализ и выявлять новые типы угроз, при необходимости обмениваясь информацией с централизованной базой данных; контролировать выполнение приложений на конечных устройствах и управляться из единого центра.

Такой подход в реализации своих решений позволяет вендорам создать многоуровневую защиту как от классических вредоносов, так и от более новых и продвинутых типов атак. Также подобные комплексы сильно облегчают работу ИТ-специалистам и намного лучше защищают корпоративные сети от пользователей, которые не слишком задумываются о том, какие приложения скачивают и какие сайты посещают в рабочее время.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT