Обнаружение вторжений и реагирование на инциденты – важные этапы управления кибератакой. Обычная киберзащита «приходит» после того, как атака взломала ваши системы.
Но многие компании не могут позволить себе покрытие вызванных кибератакой ущербов. Как правило, 1 из 8 компаний банкротятся из-за утечки информации. Страдает не только малый и средний бизнес, но и крупные организации, вынужденные терять миллионы из-за нарушений.
Из-за вспышки Covid-19 компании сталкиваются с удаленными системами, несколькими точками доступа и различными уровнями защиты. Конечные точки и сетевая безопасность обеспечивают защиту против простых вредоносных программ и нецелевых атак.
Но как защитить свой бизнес от продвинутых и скрытых угроз? Согласно отчету об охоте на угрозы 2019-го года, АРТ («развитые устойчивые угрозы» или целевые кибератаки) стали распространенными и теперь являются приоритетными для 55% SOC (Security Operation Center).
Что такое «Охоты за угрозами»?
«Охота за угрозами» относительно новый термин, который уже набирает обороты. Все больше специалистов по безопасности начинают его использовать.
Поиск угроз состоит из:
- проактивного обнаружения,
- по возможности изоляции уязвимостей,
- потенциально скомпрометированных систем.
Поиск угроз сосредоточен на продвинутых постоянных угрозах и любых вредоносных программах, предназначенных для того, чтобы смешаться с вашей кибер-средой и пребывать там в течение длительных периодов времени.
Охота за угрозами – это сочетание передового анализа безопасности и угроз с сильными аналитическими навыками специальной команды.
Такой поиск угроз глубже, чем средняя защита конечных точек и сетевой безопасности. Он создает реалистичную картину «ландшафта» безопасности вашей компании. Его можно использовать для минимизации воздействия внешних угроз, улучшения времени и точности отклика, а также для сокращения общего числа нарушений и атак.
Как приступить к охоте за угрозами?
Поиск угроз является эффективным способом борьбы с угрозами, предупреждающим взломы и атаки. К сожалению, SOC тратят только 38% своего времени на проактивное обнаружение, а постоянно его выполняют лишь 32%. Итак, что нужно для того, чтобы ваша служба безопасности была опытна в поиске угроз?
Прежде всего, вам нужна полная прозрачность инфраструктуры безопасности вашего предприятия или клиента:
- сеть,
- конечная точка,
- оборудование (от состояния сервера до телеметрии устройства IoT),
- доступ пользователя.
После того, как вы нарисовали четкую схему вашей защиты, вам необходим обзор всей системы безопасности. Теперь можно внедрить решение для анализа угроз.
Когда все будет, вам нужно создать специальную команду. В случае крупных предприятий это может быть внутренняя команда, но в большинстве случаев вам понадобится опыт внешнего поставщика безопасности.
Последняя часть состоит из установления интервала поиска (чем чаще, тем лучше) и структуры поиска угроз. Эта структура установит четкие KPI, поскольку поиск угроз может стоить много времени и денег. Раннее обнаружение уязвимости и ее исправление поможет вам сохранить ваш бизнес в безопасности.
Как происходит поиск угроз?
У вас есть правильный набор средств защиты и обнаружения, а также команда профессионалов? Тогда начнем охоту за угрозами!
«Охота» всегда начинается с повода. С гипотезы о злонамеренной деятельности, которая может быть вызвана подозрительной сетевой или программной активностью, ненормальным поведением пользователя или оценкой риска.
Например, вы видите увеличенное количество входов в жизненно важную систему. Все входы – с учетными данными опытных пользователей. Из чего вы можете предположить, что некоторые из них являются вредоносными. Однако, чтобы быть уверенным, вам необходимо знать, как выглядят регулярные входы в систему, а также когда и как часто легитимные пользователи обращаются к системе.
Как только вы установили свою гипотезу, пришло время исследовать. Это та часть, где ваша команда ищет шаблоны и индикаторы компрометации (злонамеренные действия, включая входы с подозрительных IP-адресов). Если нет видимых следов неправомерного поведения, вы также можете использовать соответствующие индикаторы.
Кроме того, если определенный сценарий продолжает повторяться, лучше всего провести полностью автоматизированное расследование. На самом деле, постоянно сравнивать поведение пользователя и системы эффективнее, чем исследовать их через определенные промежутки времени.
Следующим шагом является централизация данных и систем тестирования. В нашем сценарии «необычных входов в систему», если ваше расследование показало, что они действительно были выполнены с подозрительного IP-адреса, вы должны:
- посмотреть, были ли классы IP занесены в черный список,
- есть ли в них TI или они генерируют трафик где-либо еще в компании.
Кроме того, вы должны посмотреть, можете ли вы повторить инцидент, используя существующие системы. Ведь это может быть просто ошибкой распознавания IP.
Следующая часть — это действие, которое может состоять из чего угодно: от исправления уязвимой системы до изменения учетных данных или временного отключения системы. Это зависит от вашего решения. Поэтому информация об угрозах так полезна – она может дать вам более полное представление о степени ущерба.
Наконец, регистрация ваших действий и создание отчета о рисках жизненно важны, даже если вы не обнаружили реального эксплойта или следов атаки. Это, безусловно, поможет вам в будущем.
Больше новостей на сайте: https://bitdefender.ru/news/
