Как противостоять хакеру?
Эксперты компании Positive Technologies – производителя программного обеспечения в сфере информационной безопасности − рассказали о том, какие технологии защиты сегодня необходимы для эффективной борьбы киберпреступностью. Число кибератак постоянно растет: по статистике Positive Technologies, только за второй квартал 2018 года общее число инцидентов выросло более чем на 40%. Это обусловлено несколькими причинами. Сейчас злоумышленнику уже не нужно обладать высоким уровнем знаний в области информационных технологий – достаточно купить некие готовые решения. Так, на теневом рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами. При этом спрос на разработку и распространение вредоносного ПО значительно превышает предложение. Использование криптовалюты для оплаты только упрощает куплю-продажу. Атаки через «своих» Бизнес все чаще оказывается перед лицом целевых кибератак. В 2017 году с ними так или иначе столкнулась практически каждая вторая организация. В 2018 году ситуация сохранилась: эксперты Positive Technologies продолжили выявлять злоумышленников в инфраструктурах обследуемых организаций, причем время их присутствия иногда все еще исчисляется годами. Сами же атаки существенно усложняются с технологической точки зрения: злоумышленники стали активнее использовать методы, затрудняющие анализ и расследование инцидентов. «Один из самых необычных способов проникновения в организацию, который мы выявили, ‒ это атака через поставщика строительного оборудования. История хорошо демонстрирует степень подготовки злоумышленников: они смогли узнать о проведении ремонтных работ в компании, нашли подрядчика – поставщика гранита, взломали его инфраструктуру (их подходы к защите были весьма тривиальными) и с помощью фишинговой рассылки внедрились в целевую организацию», ‒ рассказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков. Существенно сокращается временное окно между появлением новой технологии и принятием ее на вооружение: в среднем между появлением нового эксплойта (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атак) и началом активного его использования злоумышленниками проходит от трех до пяти дней. А некоторые особо продвинутые группировки тратят на адаптацию новых эксплойтов и техник с их последующим применением в своих атаках всего несколько часов. Находим баланс Мировой опыт показывает, что до сих пор всеобщая безопасность страдает от несоблюдения основ кибергигиены: в значительном числе аудитов эксперты компании сталкиваются с необновленным ПО, с отсутствием культуры патч-менеджмента (своевременное обновление ПО), с дырявым периметром — внешней границы сети. Тем не менее, в целом, в вопросе обеспечения безопасности систем технологического управления замечен существенный прогресс. Во-первых, за счет того, что все больше и больше фокус внимания заказчиков переходит в практическую плоскость. Безусловно, на позитивную динамику влияют и требования регуляторов. Однако, если говорить о защите промышленных объектов, до сих пор в некоторых организациях существует стереотипная уверенность в том, что среднестатистический киберпреступник при всем желании не сможет проникнуть дальше офисной сети. На самом же деле это заблуждение: практика Positive Technologies показывает, что более чем в 80% случаев можно попасть из корпоративной сети в технологическую и причинить существенный ущерб, не имея глубоких познаний в информационных технологиях. В линейке Positive Technologies уже несколько лет есть специализированный продукт PT Industrial Security Incident Manager, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП [1], помогает на ранней стадии выявлять кибератаки, неавторизованные действия персонала и обеспечивает соответствие требованиям законодательства. В этом году компания представила первую в мире бесплатную систему мониторинга безопасности АСУ ТП – PT ISIM freeView. За первые три недели ее скачали сотни компаний - от небольших цехов до морских портов и ЦОДов. Это стало наглядным показателем того, что специалисты на предприятиях нуждаются в простых и эффективных решениях, которые помогут начать борьбу с киберугрозами в производственных системах. Сегодня число устройств, подключенных к cети, значительно увеличилось. Поэтому своевременное обнаружение подозрительной активности — задача первостепенной важности. Специальные решения, осуществляющие мониторинг информационных систем, анализирующие информацию в cети и на основании этого обнаруживающие вредоносную деятельность, известны уже много лет. Речь идет о SIEM-системах (SIEM — security information and event management). Их функционал незаменим, к примеру MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее неизвестные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб. Пользователи MaxPatrol SIEM регулярно получают новые правила корреляции и рекомендации по расследованию инцидентов, разработанные экспертным центром безопасности Positive Technologies, что помогает эффективно противодействовать самым актуальным угрозам. Говоря о корпоративной защите, эксперты Positive Technologies отмечают, что число компаний, которые стали жертвами целевых атак в 2017 году, выросло в два раза. При этом 9 из 10 жертв даже не подозревают о взломе. «Обнаружение атаки в среднем происходит через 197 дней, — говорит Алексей Данилин, руководитель направления по развитию бизнеса Positive Technologies. - После преодоления периметра около 60% атак распространяются в инфраструктуре горизонтально, поэтому они долго остаются незамеченными. Чтобы эффективно и заблаговременно детектировать целевые атаки, необходимо следить за злонамеренной активностью и на периметре, и внутри сети, выявляя атаки в трафике. И конечно, необходимо выполнять регулярный ретроспективный анализ». Комплекс для раннего выявления сложных угроз позволяет в режиме реального времени обнаруживать и локализовывать присутствие злоумышленника в сети, а также воссоздавать полную картину атаки для детального расследования. Решение анализирует файлы в различных потоках данных с помощью нескольких антивирусов, «песочницы» и собственных репутационных списков, а также выявляет атаки в трафике на основе большого количества признаков. Так, к примеру, автоматически выявляется применение всех популярных хакерских инструментов, эксплуатация уязвимостей ПО и нарушение политик безопасности — то, что обычно остается не замеченным другими средствами защиты. [1] Автоматизированные системы управления техническим процессом