Девиз дня: Кто предупреждён, тот защищён
Когда мы смотрим в будущее контроля доступа и физической безопасности, ясно одно: безопасность по-прежнему является главной заботой каждой организации. Поскольку все больше людей зависят от услуг Интернета для выполнения своих повседневных задач, будущее контроля доступа и физической безопасности в 2021 году, особенно для предприятий, будет по-прежнему сосредоточено на защите данных и ограничении доступа. Платформы, которые уделяют приоритетное внимание гибкости и масштабируемости, позволят компаниям адаптироваться к постоянно меняющимся условиям без дополнительных инвестиций. Поиск новых и инновационных способов защиты помещений, защиты конфиденциальной информации и создания условий, исключающих трения, будет в центре внимания в 2022 году и далеко за его пределами.
Удалённая работа
После широкого распространения Интернета, интеллектуальных и портативных устройств в наше время стало необходимо уделять внимание кибербезопасности и тому, как защитить себя в цифровом пространстве, начиная с дома и заканчивая работой, и на государственном уровне в целом, а кибербезопасность является одной из наиболее распространенных тем в наши дни, и обучение стало императивом.
По мере того как наша повседневная жизнь становится все более зависимой от интернет-инструментов и услуг, а также по мере того, как эти платформы накапливают больше, чем наши самые конфиденциальные данные, растет спрос на экспертов в области кибербезопасности.
В настоящее время мир подключен к Интернету и сделал всех более уязвимыми для кибератак.
Пандемия коронавируса нового типа (Covid-19) привела многие учреждения и организации к модели удаленной работы, эта ситуация вызвала проблемы и меры в области кибербезопасности.
В рамках мер предосторожности против пандемии многим приходится работать удалённо.
Удаленная работа создала другие потребности делового мира. Наиболее значительная роль в этом отводится партнерам по кибербезопасности, которые несут ответственность за информационную безопасность и управление кибер-рисками компаний.
После того, что для многих было сложным годом, 2021 год ознаменовался сейсмическим сдвигом в подходе организаций к обеспечению безопасности. Индустрия безопасности печально известна медленным внедрением новых технологий, но в связи с бумом бесконтактного контроля доступа, она способна быстро внедрять инновационные решения, особенно когда существует высокий спрос на повышение безопасности.
Риски кибербезопасности, возникающие при удаленной работе
Обеспечение безопасности систем и данных в организации намного проще, чем хранение этих данных за пределами здания организации, а иногда и в системах, которые даже не находятся под контролем организации. Когда сотрудникам предоставляется возможность работать удаленно/из дома, прежде всего, необходимо понимать, что важные данные теперь будут выходить за физические границы организации. Кроме того, также изменится тип и количество подключений к организации. Во многих организациях критически важные бизнес-системы (базы данных и т.д.) Необходимо включать, когда они не открыты напрямую для Интернета. В то время как удаленно подключены только сотрудники отдела продаж и маркетинга организации, сотрудники бухгалтерии теперь должны подключаться удаленно. В этом случае некоторые риски, которые до сих пор не были предсказаны, могут оказаться неизбежными.
Эти риски кибербезопасности, возникающие в модели удаленной работы, можно перечислить следующим образом;
- Риски, связанные с подключениями
- Риски, связанные с данными
- Риски, связанные с удаленным сотрудником.
Организации во всем мире создают надежные группы безопасности для борьбы с киберугрозами, и им нужны квалифицированные специалисты, которым они могут доверять, чтобы руководить командами и разрабатывать политику и системы, способные защищать их данные. Сейчас самое время развить свои навыки, получить сертификат и присоединиться к следующему поколению профессионалов в области безопасности в создании более защищённой среды передачи данных.
Предприятия принимают меры по обеспечению безопасности интернета вещей, но достаточно ли они делают?
Современная жизнь зависит от онлайн-сервисов, поэтому жизненно важно лучше понимать угрозы кибербезопасности.
Виды кибератак
Каждый день в программном обеспечении обнаруживается новая уязвимость. Чтобы исправить эти пробелы, поставщики программного обеспечения разрабатывают и выпускают исправления. Исправление уязвимостей в программном обеспечении — это важный шаг в защите пользовательских сетей, но его часто упускают из виду. Это может показаться странным, но уязвимости в таких программах, как Java, Adobe Reader, Adobe Flash, которые используются почти всеми пользователями компьютеров каждый день, обычно остаются незапечатанными.
К наиболее распространенным формам киберпреступности относятся:
- фишинговые мошенничества
- вредоносные программы и программы-вымогатели
- подмена веб-сайта
- кража интеллектуальной собственности
- кража личных данных и мошенничество
- незаконное проникновение в информационные системы
- промышленный шпионаж и взлом интернета вещей.
Фишинговые атаки
Почти все киберугрозы используют уязвимости в компьютерных системах, за исключением фишинговых атак. Фишинговые атаки используют человеческую природу, чтобы использовать доверчивость жертвы. Фишинговые атаки — это когда хакер собирает личную информацию человека с помощью текстового сообщения, электронной почты, прямого сообщения или даже печатного письма. При нажатии на переписку личная информация, такая как информация об учетной записи пользователя, пароли, данные об именах пользователей, должна быть отправлена хакеру. Затем хакеры могут получить всю информацию, которую они хотят.
Черви
Точно так же, как настоящий червь размножается при делении, кибер-червь также копирует себя на другие компьютеры. В результате этого копирования червь создает перегрузку в сети, вызывая вредоносную вирусную нагрузку. Этот червь может удалять файлы, шифровать файлы с помощью программ-вымогателей и красть важную личную информацию, такую как пароли. Самое главное, что черви могут создавать полезную нагрузку, которая устанавливает бэкдор на компьютер, и хакеры смогут управлять как ботнетом.
DDoS-атаки
DDoS-атаки, также известные как атаки с отказом в обслуживании, перегружают системы по сети, перенаправляя то, что сеть признает законным, через серверы, вызывая значительное замедление или даже простои в сети. DDoS-атаки часто используются для подавления атакуемых организаций и перехвата их сетевого трафика. Ознакомьтесь с нашей подробной статьей о DDoS-атаках и решением для тестирования DDoS для получения дополнительной информации.
Троянские кони
Киберугроза «Троянский конь» (или просто Троян), названная в честь древнегреческой мифологии, работает аналогично плану Одиссея. Вместо того, чтобы казаться угрозой, троянец изначально кажется безобидным, как и троянский конь. Например, файл, прикрепленный к электронному письму в виде изображения, может быть троянским. Как только троянец проникает в систему, реальные угрозы, такие как вредоносные программы или другие вирусы, сразу не проявляют себя при их загрузке. Даже после заражения компьютер не знает, что он заражен.
Расширенные постоянные угрозы (APT)
Эти типы угроз используются для кражи интеллектуальных активов. APT проникают в систему, используя такие угрозы, как фишинговая тактика или троянские программы, и они действительно достаточно продвинуты, чтобы скомпрометировать всю сеть за очень короткое время. Хакеры больше не просто занудные одинокие волки, сидящие в тени за компьютером для совершения киберпреступлений, как мы, смертные, все еще думаем. Вопреки распространенному мнению, хакеры теперь работают в сложных группах, которые требуют огромных выкупов, крадя и продавая данные у крупных организаций. Вот почему они создают все более изощренные угрозы, такие как APTs, с каждым днем причиняя все больше и больше проблем бизнесу.
1969 – Первый Компьютерный Вирус: Вирус Кролика (RABBITS)
Считается, что первым компьютерным вирусом в истории, вероятно, была программа под названием RABBITS. Неизвестно, кто создал этот вирус и почему, но вируса было достаточно, чтобы уничтожить Вычислительный центр Вашингтонского университета. Вирус, получивший свое название от переполнения из-за его сходства со способом размножения кроликов, был установлен и работал на компьютере в университете в 1969 году. Программа реплицировалась, сделав две копии, и продолжала делать копии до тех пор, пока они не перегрузили компьютер и не перестали работать.
Дополнительное примечание: Первый в истории компьютерный вирус, вирус КРОЛИКА, был использован для первой в истории атаки типа «отказ в обслуживании».
1971 – Первый вирус через Интернет: Крипер
Первым человеком, который отправил вирусы по электронной почте, был также изобретатель электронной почты Рэй Томлинсон. Этот вирус называется Крипер, и он квалифицируется как первый компьютерный червь. Программа скопировала себя и распространилась по всей ARPANET, на каждом терминале появилось сообщение: “Я крипер: Поймай меня, если сможешь”.
Во-первых, более безобидная версия вируса на самом деле была создана другом Томлинсона, Бобом Томасом. Томлинсон, с другой стороны, модифицировал этот вирус для загрузки компьютера до тех пор, пока он не перестал работать.
1975 – Первый Троянский конь
Джон Уокер стал первым человеком, который обманом заставил людей установить вирус на свои компьютеры. Уокер изобрел компьютерный вирус, который, по его мнению, был вызван благими намерениями. И он спроектировал ее как успешную компьютерную игру под названием «ЖИВОТНОЕ». Он обновил игру, которую все его друзья хотели скопировать в каждый каталог, который он мог тайно найти, пока люди играли. Это означало, что он будет копировать себя в каталоги других пользователей и на любую ленту, подключенную к компьютеру. И если вы возьмете эту пленку и поставите ее на другой компьютер, это испортит игру Уокера.
Уокер настаивает, что сделал это по доброте душевной. Ну, и чтобы люди знали — по его словам — “что могло бы произойти, если бы я не был хорошим парнем”.
1988 – еще одна первая кибератака: Червь Морриса
Для некоторых властей Червь Морриса считается первой кибератакой, которая началась с добрых намерений и любопытства, но закончилась неожиданными результатами. В 1988 году Роберт Таппан Моррис, аспирант Корнельского университета, разработал программу для изучения масштабов Интернета. Программа, разработанная Моррисом, в принципе сканировала бы Интернет и копировала себя на все компьютеры в Интернете, а также считала копии, чтобы показать, сколько компьютеров было в Сети.
Чтобы быть уверенным в количестве компьютеров в Интернете, Моррис написал команду, которая заставила его настроить компьютер 57 раз. Однако с каждой установкой зараженный компьютер ослабевал, что в конечном итоге приводило к сбою компьютеров. Это позволило зафиксировать первую распределенную атаку типа «Отказ в обслуживании» (DDoS) как ошибку.
Червь Морриса повредил в общей сложности 6.000 компьютеров, и стоимость устранения последствий этого червя составляла от 100.000 до 1 миллиона долларов. Моррис, с другой стороны, был приговорен к штрафам и условным срокам, а также к общественным работам за нарушение Закона о мошенничестве и злоупотреблениях.
Центр мониторинга информационной безопасности
Термин “кибербезопасность” имеет первостепенное значение почти для всех организаций, в которых имеется специальная инфраструктура информационных систем, и другой термин “центр управления безопасностью” стал спорным вопросом, поскольку с каждым днем появляется все больше информации и все больше дискуссий по этому поводу.
Область кибербезопасности зависит от интеграции различных технических команд друг с другом. Вот почему в отделе информационных технологий организаций технические команды, эксперты по безопасности, аналитики и т.д., должны работать и полагаться друг на друга. Одной из таких основных команд в организации является команда Security Operation Center (SOC) — структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки.
Команда SOC состоит из сотрудников с различными жизненно важными обязанностями, и неотъемлемым членом команды является аналитик SOC. Роль аналитиков SOC в основном заключается в том, чтобы заботиться о хорошем, плохом и уродливом анализе и применении сортировки инцидентов в существующей инфраструктуре информационной системы организации. Итак, давайте глубже рассмотрим один день из жизни социолога.
Обязанности аналитика SOC
Управление уведомлениями о тревоге
Аналитики SOC часто начинают свой день с охранной сигнализации. Аналитики SOC ежедневно просматривают многочисленные сигналы тревоги. Эти сигналы тревоги безопасности помечаются программным обеспечением для управления информацией о безопасности и событиями (SIEM), а также программным обеспечением для организации безопасности и автоматического реагирования, если это возможно. Это программное обеспечение настраивает сигналы тревоги как аномалии, правила корреляции или просто обычные сигналы тревоги. Аналитик SOC изучает каждый инцидент, анализирует его и выясняет первопричину. Аналитику необходимо определить, являются ли эти сигналы тревоги реальными инцидентами или ложными срабатываниями. Однако следует учитывать, что аналитик SOC всегда рискует пропустить важный инцидент среди этих многочисленных сигналов тревоги.
Предотвращение кибератак
При обнаружении аномальной активности в сети s/ аналитик SOC немедленно начинает расследование этой активности и принимает меры для предотвращения угрозы для сети. Эти меры могут включать обнаружение сложных постоянных угроз или скрытых вредоносных программ в сети и их извлечение до того, как произойдет повреждение сети.
Конечно, для того, чтобы обнаружить эти аномальные действия, аналитик SOC должен быть оснащен и способен обнаруживать действия, заслуживающие расследования, среди многочисленных сигналов тревоги. Когда принимается решение изучить действие, необходимо определить необходимые журналы для создания временной шкалы действий, которые приводят к угрозе. В этом случае аналитику требуется знание топологии сети и достаточный опыт в борьбе с киберугрозами.
Реагирование на инциденты
Аналитики SOC должны быть в состоянии защитить системы, подвергающиеся атаке, как можно быстрее, выяснив первопричину и стадию реализации кибер-инцидента. В таком случае первостепенное значение имеет минимизация воздействия атаки путем ограничения деятельности в сети. Это также включает в себя принятие важных и точных решений для уменьшения влияния атаки и времени восстановления.
Охота за угрозой
Наконец, во время атаки аналитики SOC должны активно искать угрозы в сети. Поиск угроз осуществляется на основе информации из потоков разведки угроз, источника данных, который интегрирует и постоянно обновляет различную информацию, такую как векторы угроз, зараженные веб-сайты, недавние кибератаки и так далее.
Роль аналитика SOC также может варьироваться в зависимости от опыта работы. Степень компетентности аналитика SOC основана на “Уровне”, и конкретные обязанности также различаются в зависимости от каждого уровня.
Уровень 1
Это самая младшая должность среди аналитиков SOC. Аналитик уровня 1, ответственный за мониторинг инфраструктуры информационной системы с использованием программного обеспечения SIEM и SOAR и выполнение первоначального реагирования на кибер-инциденты. Кроме того, уровень 1 должен сортировать и определять серьезность сигналов тревоги. Кроме того, аналитик на этом уровне периодически выполняет сканирование уязвимостей в сети и создает оценочные отчеты об этих проверках.
Уровень 2
Этот уровень аналитика SOC отвечает за углубленный анализ инцидентов безопасности. Уровень 2 работает в координации с группой разведки угроз, чтобы понять природу и масштабы атаки. Более того, аналитик на этом уровне находит решение для смягчения и исправления атаки.
Уровень 3
Аналитики SOC на уровне 3 должны быть опытными аналитиками, использующими передовые инструменты, такие как инструменты тестирования на проникновение, для понимания и обнаружения уязвимостей и недостатков безопасности в сети. Кроме того, этот опытный аналитик также отвечает за поиск угроз для обнаружения потенциальных угроз, хранящихся в сети.
Вкратце, аналитиков SOC можно назвать ведущими силами в киберсетях, которые постоянно, не уставая, работают против вредоносных программ и угроз. В этом новом деловом мире, где весь мир начинает работать из дома, количество кибератак растет день ото дня. В наше время, когда потребности в кибербезопасности нельзя игнорировать, такие как решения SOC, которые обнаруживают киберугрозы, оцениваются как киберзащита организации.
Управление ИТ-активами в области кибербезопасности
Организации не могут позволить себе роскошь не знать о своих сетях и аппаратных и программных средствах в своих сетях. Подход “нельзя защитить какой-либо актив, о котором он/она не знает”, один из основных принципов безопасности, имеет существенное значение для формирования и защиты инфраструктуры кибербезопасности. Неспособность управлять активами играет значительную роль в корне многих других инцидентов кибербезопасности.
Первым действием, которое должно быть предпринято агентством или организацией до осуществления какой-либо операции по защите своих ИТ-активов, должно быть введение в действие механизмов для определения и отслеживания таких активов. Для определения таких активов должны быть созданы соответствующие процессы, и они должны поддерживаться технологиями автоматизации. В случае, если активы, которые только что вошли в сеть, могут быть автоматически обнаружены, и менеджеры системы/безопасности могут быть оперативно проинформированы о такой ситуации, то теперь настало время защитить такие активы. Еще одним важным шагом, который необходимо предпринять для защиты активов, является их повторное размещение. Процессы, предназначенные для защиты активов, владельцы и руководители которых назначены, могут выполняться владельцами и руководителями активов, и, таким образом, они не станут невостребованными. Такие активы, внесенные в опись и контролируемые их владельцами, должны постоянно контролироваться и находиться под защитой с помощью средств контроля безопасности. Здесь антивирусные программы, исправления и обновления для системы безопасности, а также возможность обнаружения атак путем отправки журналов в центральную систему могут служить примерами для элементов управления безопасностью. Поверхность атаки может быть сужена для злоумышленников только при таком подходе.
Обязательные меры предосторожности в области кибербезопасности, связанные с удаленной работой
Первый способ сделать удаленную рабочую среду безопасной-сосредоточиться на защите сотрудников от вредоносных программ. Давайте рассмотрим несколько различных способов, которыми организация может помочь своим сотрудникам в области кибербезопасности.
VPN
При подключении к системам удаленной установки необходимо использовать VPN. Таким образом, хотя сотрудниками можно управлять так, как если бы они находились в корпоративной сети, безопасность соединения также обеспечивается. VPN (Виртуальная частная сеть) гарантирует, что у сотрудника есть собственное зашифрованное соединение, которое не может быть перехвачено другими. Таким образом, он не только обеспечивает безопасный доступ к системам, но и позволяет нам записывать, какой пользователь был подключен к какой системе и когда.
Облачные Системы
В ситуации, когда сотрудники работают удаленно из организации, нет необходимости подключать и использовать системы внутри организации. Особенно в тех случаях, когда подключение организации к Интернету может быть недостаточным или такие компоненты, как подключаемый сервер и инфраструктура, могут вызвать проблемы с производительностью. Поэтому будет разумно перенести серверы и системы в облачную среду или в центр обработки данных. Таким образом, проблемы с производственными мощностями могут быть решены без дополнительных инвестиций, а также обеспечивается непрерывность бизнеса.
Осведомленность о кибербезопасности
Удаленные работники могут столкнуться с некоторыми рисками, которым они не подвержены в корпоративной среде. Некоторые из них могут возникать из-за физического отсутствия в офисе, в то время как другие могут возникать из-за комфорта пребывания дома. По этой причине сторонние компании по кибербезопасности предлагают обучение тому, как обнаруживать фишинговые атаки и другие киберугрозы, возникающие на рабочем месте. Чем более осведомлен сотрудник, тем лучше он защищает себя.
Сброс пароля и 2FA
Компания может поощрять хорошую кибергигиену своих сотрудников, требуя периодического сброса паролей. А двухфакторная аутентификация (с помощью SMS или электронной почты, или, в идеале, с помощью приложения для аутентификации) означает, что даже если хакеру удастся украсть учетные данные для входа сотрудника, он не сможет принять меры по ним без дополнительного механизма аутентификации.
Другой подход к обеспечению безопасности в удаленной среде заключается в признании того, что сотрудники представляют неизбежную угрозу безопасности. С этой точки зрения, вместо того, чтобы пытаться защитить каждого сотрудника от всех возможных угроз, организации должны сосредоточиться на защите самой компании от сотрудников. Звучит грубо, но это для общего блага. Взлом ноутбука сотрудника — это ужасно, но нарушение всей ИТ-инфраструктуры компании и, возможно, всех, кто от нее зависит, намного хуже.
Давайте рассмотрим несколько способов, которыми компания может обезопасить свой дом даже от своих сотрудников.
Управление привилегированным доступом (PAM)
Не каждый пользователь в ИТ-сети имеет эквивалентные привилегии. Системный администратор сможет получить доступ к частям сети, о существовании которых стажер даже не подозревает. Поэтому крайне важно, чтобы эти две учетные записи были разделены таким образом, чтобы нарушение одной из них не являлось нарушением другой. Это специальность провайдеров PAM.
Мониторинг сети
Мониторинг активности, происходящей в сети, включая ввод и вывод данных, ловит хакеров на ходу. Это почти всегда большая работа, выполняемая при поддержке человека с использованием искусственного интеллекта. Поскольку у хакеров есть всевозможные способы замаскировать свою деятельность, чтобы обойти ИИ, недостаточно обнаружить каждую возможную атаку в одиночку. Круглосуточный мониторинг, предоставляемый SOC (Центром управления безопасностью), дает организациям преимущество в защите от инцидентов и вторжений, независимо от источника, времени суток или типа атаки. Однако для каждой организации создание SOC и привлечение опытного персонала обходится очень дорого. Поэтому обслуживание SOC от сторонних компаний всегда является более быстрым решением.
Наше понимание защиты «под ключ»
Чтобы ответить на этот вопрос, для начала определим, что мы сами понимаем под «защитой под ключ». Мы считаем, что это предложение, в рамках которого клиенты получают защиту своей инфраструктуры на всех стадиях реагирования на угрозы:
- на этапе предупреждения инцидента (Prevention) с помощью решений для защиты рабочих станций;
- на этапе детектирования угроз (Detection) путем мониторинга и анализа информации, стекающейся из клиентских защитных решений в центр обеспечения безопасности (Security Operations Center, SOC);
- на этапе проактивного поиска угроз (Threat Hunting), предполагающего проверку гипотез о новых угрозах, а также ретроспективные сканы в накопленных исторических данных клиента по новым индикаторам компрометации и индикаторам атаки (Indicators of Compromise / Indicators of Attack);
- на этапе оценки и подтверждения угроз (Validation), в ходе которого команда SOC определяет, является ли конкретное подозрительное событие реальной угрозой или легальным действием (ложной тревогой);
- на этапе помощи в реагировании на угрозы (Incident Response), в ходе которой мы восстанавливаем цепочку и масштаб атаки, а также даем рекомендации клиентам по тому, как привести защищаемые системы в «здоровое» состояние.
На первом этапе справляются решения классов Endpoint Protection Platform или Endpoint Detection and Response в автоматическом режиме. На всех последующих этапах критически важно участие специалистов центра обеспечения безопасности (SOC). Однако не каждый бизнес может позволить себе собственный SOC.
Как быть компаниям без собственного SOC?
Собственный SOC — вовсе не обязательное условие для обеспечения полноценной защиты. Долю компаний с SOC можно прикинуть при помощи платформы Gartner Peer Insights: достаточно сравнить общее количество отзывов на платформы типа Endpoint Protection с количеством рецензий на решения класса Endpoint Detection and Response (которые предполагают наличие SOC). В среднем получается около 20%.
Что делать остальным 80% компаний? Разумный выход для большинства из них — делегирование части функций. Экспертные работы по оценке и подтверждению угроз, их проактивный поиск и реагирование на инциденты могут взять на себя провайдеры услуг безопасности (Managed Security Service Provider, MSSP) или вендор решений безопасности, который, по сути, берет на себя часть функций MSSP (наш случай).
При таком подходе клиенты получают набор решений, функциональность которых значительно шире, чем Endpoint Detection and Response. Это и обнаружение угроз путем анализа аномалий сетевого трафика (Network Detection and Response), и возможность интерпретации информации об инцидентах силами высококвалифицированных специалистов (Managed Detection and Response, MDR).
Уникальность подобного SOC заключается в том, что у экспертов есть оперативный доступ к информации об инцидентах и новых угрозах по всему миру — на основании этой информации они могут предпринимать шаги в интересах клиентов.
(Источник: Gartner)
