Как бизнес может противостоять атакам хакеров

Число кибератак постоянно растет: по статистике Positive Technologies, только за второй квартал 2018 г. общее число инцидентов выросло более чем на 40%. Это обусловлено несколькими причинами. Сейчас злоумышленнику уже не нужно обладать высоким уровнем знаний в области информационных технологий - достаточно купить некие готовые решения. Так, на теневом рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами. При этом спрос на разработку и распространение вредоносного ПО значительно превышает предложение. Использование криптовалюты для оплаты только упрощает куплю-продажу. Атаки через "своих" Бизнес все чаще оказывается перед лицом целевых кибератак. В 2017 г. с ними так или иначе столкнулась практически каждая вторая организация. В 2018 г. ситуация сохранилась: эксперты Positive Technologies продолжили выявлять злоумышленников в инфраструктурах обследуемых организаций, причем время их присутствия иногда все еще исчисляется годами. Сами же атаки существенно усложняются с технологической точки зрения: злоумышленники стали активнее использовать методы, затрудняющие анализ и расследование инцидентов. "Один из самых необычных способов проникновения в организацию, который мы выявили, - это атака через поставщика строительного оборудования. История хорошо демонстрирует степень подготовки злоумышленников: они смогли узнать о проведении ремонтных работ в компании, нашли подрядчика - поставщика гранита, взломали его инфраструктуру (их подходы к защите были весьма тривиальными) и с помощью фишинговой рассылки внедрились в целевую организацию", - рассказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. Существенно сокращается временное окно между появлением новой технологии и принятием ее на вооружение: в среднем между появлением нового эксплойта (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атак) и началом активного его использования злоумышленниками проходит от трех до пяти дней. А некоторые особо продвинутые группировки тратят на адаптацию новых эксплойтов и техник с их последующим применением в своих атаках всего несколько часов. Находим баланс Мировой опыт показывает, что до сих пор всеобщая безопасность страдает от несоблюдения основ кибергигиены: в значительном числе аудитов эксперты компании сталкиваются с необновленным ПО, с отсутствием культуры патч-менеджмента (своевременное обновление ПО), с дырявым периметром - внешней границы сети. Тем не менее, в целом, в вопросе обеспечения безопасности систем технологического управления замечен существенный прогресс. Во-первых, за счет того, что фокус внимания заказчиков все больше и больше переходит в практическую плоскость. Безусловно, на позитивную динамику влияют и требования регуляторов. Однако, если говорить о защите промышленных объектов, до сих пор в некоторых организациях существует стереотипная уверенность в том, что среднестатистический киберпреступник при всем желании не сможет проникнуть дальше офисной сети. На самом же деле это заблуждение: практика Positive Technologies показывает, что более чем в 80% случаев из корпоративной сети можно попасть в технологическую и причинить существенный ущерб, даже не имея глубоких познаний в информационных технологиях. В линейке Positive Technologies уже несколько лет присутствует специализированный продукт PT Industrial Security Incident Manager, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП (автоматизированные системы управления техническим процессом), помогает на ранней стадии выявлять кибератаки, неавторизованные действия персонала и обеспечивает соответствие требованиям законодательства. В этом году компания представила первую в мире бесплатную систему мониторинга безопасности АСУ ТП - PT ISIM freeView. За первые три недели ее скачали сотни компаний - от небольших цехов до морских портов и ЦОДов. Это стало наглядным показателем того, что специалисты на предприятиях нуждаются в простых и эффективных решениях, которые помогут начать борьбу с киберугрозами в производственных системах. Сегодня число устройств, подключаемых к cети, значительно увеличилось. Поэтому своевременное обнаружение подозрительной активности - задача первостепенной важности. Специальные решения, осуществляющие мониторинг информационных систем, анализирующие информацию в cети и на основании этого обнаруживающие вредоносную деятельность, известны уже много лет. Речь идет о SIEM-системах (SIEM - security information and event management). Их функционал незаменим, к примеру, MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее не известные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб. Пользователям MaxPatrol SIEM регулярно направляют новые правила корреляции и рекомендации по расследованию инцидентов, разработанные экспертным центром безопасности Positive Technologies, что помогает эффективно противодействовать самым актуальным угрозам. Говоря о корпоративной защите, эксперты Positive Technologies отмечают, что число компаний, ставших жертвами целевых атак в 2017 г., выросло в два раза. При этом 9 из 10 жертв даже не подозревают о взломе. "Обнаружение атаки происходит в среднем через 197 дней, - говорит Алексей Данилин, руководитель направления развития бизнеса Positive Technologies. - После преодоления периметра около 60% атак распространяются в инфраструктуре горизонтально, поэтому они долго остаются незамеченными. Чтобы эффективно и заблаговременно детектировать целевые атаки, необходимо следить за злонамеренной активностью и на периметре, и внутри сети, выявляя атаки в трафике. И конечно, необходимо выполнять регулярный ретроспективный анализ". Комплекс для раннего выявления сложных угроз позволяет в режиме реального времени обнаруживать и локализовывать присутствие злоумышленника в сети, а также воссоздавать полную картину атаки для детального расследования. Решение анализирует файлы в различных потоках данных с помощью нескольких антивирусов, "песочницы" и собственных репутационных списков, а также выявляет атаки в трафике на основе большого количества признаков. Так, к примеру, автоматически выявляются применение всех популярных хакерских инструментов, эксплуатация уязвимостей ПО и нарушение политик безопасности - то, что обычно остается не замеченным другими средствами защиты.

Как бизнес может противостоять атакам хакеров
© Волга Ньюс