Понятие "ИБ-специалист" весьма обширное. Очень уж много у него различных задач и сфер деятельности. Но в рамках этой статьи мы сосредоточимся именно на кибератаках и технических мерах защиты от них.
Для начала давайте рассмотрим сам процесс типовой атаки и возможные векторы этих "нападений". Согласитесь, гораздо легче защищаться, когда знаешь, как тебя будут "штурмовать". Уже после этого можно начать размышлять о концептах и методах защиты.
Cyber Kill Chain
Почти уверен, что большинство читателей этого блога уже слышали о таком понятии как "Cyber Kill Chain". По сути, эта "убийственная цепочка" описывает все шаги типовой кибератаки. Их всего 7:
- Разведка. В случае таргетированной атаки злоумышленник осуществляет сбор информации о жертве (email, телефон, сайты, должность, начальник и т.д.).
- Вооружение. Создание злоумышленником вредоносного ПО (pdf, doc, excel и т.д.).
- Доставка. Отправка вредоносного файла или ссылки на файл. Для доставки могут использоваться email, sms, messenger.
- Эксплуатация. Исполнение эксплойта на компьютере жертвы (в браузере, pdf-reader и т.д.).
- Установка. Инсталляция дополнительного вредоносного ПО, чтобы закрепиться на атакованном компьютере.
- Контроль. Получение полного контроля над компьютером жертвы. Подключение к C&C серверам.
- Достижение цели. Кража информации, шифрование и уничтожение. Данный этап может оттягиваться годами, при этом никто не будет подозревать, что компьютер уже заражен.
Защита на каждом шаге этой "убийственной цепочки" – пример идеальной системы. Если не получится отразить атаку на первых этапах, то важно иметь возможность заблокировать ее в будущем. Здесь мы и подходим к теме нашей статьи.
Главная техническая задача ИБ-шника
С этапами типичной кибератаки все понятно. Но как это выглядит со стороны ИБ-специалиста? С технической точки зрения работа "безопасника" сводится к трем основным задачам:
- Detect & Prevent. Как можно раньше обнаружить или предотвратить атаку. Мы должны пытаться сделать это сразу на всех уровнях корпоративной сети (периметр, ядро, рабочие станции, облачные сервисы).
- Contain. Локализовать и остановить атаку как можно быстрее (например, распространение шифровальщика по сети). Невозможно гарантировать 100% предотвращение всех возможных угроз, даже при использовании лучших средств защиты. Нужно быть готовым к активным действиям после успешной атаки на ваши ресурсы.
- Forensic analysis. Как только вы остановили атаку, необходимо провести детальный анализ произошедшего. Как была совершена атака (entry point), какая уязвимость использовалась, каким данным был нанесен ущерб, все ли удалось восстановить и как предотвратить следующие атаки.
Check Point SandBlast
Технологии Check Point SandBlast позволяют выполнить все три поставленные задачи во всех возможных областях атаки - периметр сети (Gateway), рабочие станции (SandBlast Agent), мобильные устройства (SandBlast Mobile) и облачные сервисы (CloudGuard SaaS). Давайте рассмотрим подробнее.
- Detect & Prevent. Здесь все очевидно. Check Point уже много лет подряд является одним из лидеров в области предотвращения таргетированных атак. То есть прежде, чем что-то попадет к вам в сеть, вы фильтруете весь зловредный контент, тем самым уменьшая площадь атаки.
- Contain. Если какому-то зловреду все же удалось проникнуть в сеть, то механизмы Check Point позволяют быстро определить его присутствие и заблокировать активность с помощью блейда Anti-Bot и других продвинутых механизмов отслеживания (AntiExploit, AntiRansomware и т.д.).
- Forensic analysis. Очень важная задача, о которой многие "безопасники" забывают. Check Point SandBlast в автоматическом режиме проводит расследование всех инцидентов и предоставляет не только подробную аналитику, но и возможность восстановления данных (SandBlast Agent). Примечательно, что новые отчеты с шлюзов и агентов Check Point позволяют рассмотреть атаку в формате Cyber Kill Chain. Помогает в этом новый режим представления — MITRE matrix:
Чтобы детально рассмотреть эти новшества, мы подготовили цикл из четырех статей:
Заключение
Понимая, как важно обеспечивать безопасность на всех уровнях сети, мы объединили Check Point SandBlast Agent, SandBlast Mobile и CloudGuard SaaS в комплексное решение Check Point SandBlast Remote Access Pack, которое, в свою очередь, обеспечит полноценную защиту данных вашей компании в условиях удаленной работы.
Узнайте подробнее о решении и соберите свой Pack, перейдя по ссылке.
#информационная безопасность #check point #системное администрирование #серверное администрирование #кибербезопасность
