Полное руководство по защите от 7 векторов атак

Изображение: Sigmund (Unsplash)

В данной статье пойдет речь о 7 векторах атак и эффективных способах снизить киберриски. Чем быстрее будет выявлена кибератака, тем меньше негативных последствий ждет компанию.

Введение

Цифровая трансформация и удаленная работа значительно увеличили поверхность для атак. Поскольку количество приложений, веб-сайтов, учетных записей, устройств, облачной инфраструктуры, серверов и операционных технологий (OT) продолжает увеличиваться, управление поверхностью атаки также становится более сложным. Неудивительно, что 73% IT-руководителей и бизнес-лидеров, опрошенных в рамках глобального исследования Trend Micro, заявили, что они обеспокоены размером своей цифровой поверхности для атаки.

Эффективное управление рисками поверхности атаки (Attack Surface Risk management/ASRM) начинается с упреждающей защиты от первоначальных векторов нападения вместо принятия экстренных мер после того, как злоумышленники уже проникли в сеть. По данным IBM, векторы атак с более длительным временем выявления и сдерживания являются одними из самых опасных типов взломов. Давайте рассмотрим 7 ключевых векторов атак – это поможет CISO и руководителям ИБ-отделов укрепить свою стратегию безопасности ASRM и снизить киберриски.

7 основных векторов атак

1.     Электронная почта

Риски. Электронная почта остается наиболее распространенным вектором атаки среди киберпреступников из-за своей простоты. В 2021 году 74,1% (33,6 млн) от общего числа угроз, выявленных Trend Micro, были атаками посредством электронной почты – это на 101% больше, чем в 2020 году. Убытки от данных атак также растут: согласно исследованию, проведенному Ponemon в 2021 году, фишинговые атаки обходятся предприятиям почти в 15 миллионов долларов ежегодно (это более 1500 $ на одного сотрудника).

Изображение: Initial Access Tactics — Email (Trend Micro)

Что могут сделать предприятия? Следует выйти за рамки собственной безопасности электронной почты и выбрать поставщика с многоуровневой защитой:

1. Шлюз электронной почты, использующий искусственный интеллект, ML, поведенческий анализ и распознавание авторства.
2. Cloud Application Security Broker (CASB) анализирует входящие электронные письма, сканирует ссылки, вложения и переписку между одноранговыми узлами, чтобы предотвратить фишинг скомпрометированных учетных записей сотрудников.
3. Secure Web Gateway (SWG) обеспечивает дополнительную защиту при переходе по вредоносной ссылке путем встроенной проверки трафика, анализа изображений и использования ML для просмотра контента, форм входа и других данных с целью распознавания поддельных веб-страниц.
4. Обучайте пользователей с помощью встроенных симуляций повышения осведомленности о безопасности и тренингов. В идеале поставщик ПО должен предоставлять фишинговые тесты, основанные на шаблонах, составленных на базе данных о недавних реальных кибератаках.

2.     Сеть и веб-приложения

Риски. Межсайтовый скриптинг (Cross-site scripting/XSS) связан с использованием ошибок кодирования на веб-сайтах или в веб-приложениях для получения входных данных пользователей. Неудивительно, что XSS остается одним из ведущих векторов атак в OWASP Top 10 Web Application Security Risks – серьезная уязвимость XSS в Ivory Search, поисковом плагине WordPress, сделала 60 000 веб-сайтов незащищенными для внедрения вредоносного кода. В связи с ростом популярности удаленной работы и переходом на облачные сервисы предприятиям необходимо усилить защиту своих сайтов и используемых приложений.

Изображение: Initial Access Tactics — Web (Trend Micro)

Что могут сделать предприятия? CASB помогает снизить риски, связанные с использованием приложений SaaS, не влияя на пользовательский опыт. Данное ПО противодействует использованию теневых технологий, защищает от взлома облачных учетных записей и устраняет пробелы в безопасности сторонних сервисов (такие, как уязвимости Ivory Search). Кроме того, CASB дополняет возможности SWG-решений по блокированию угроз и извлекает выгоду из интеграции с аналитическими возможностями расширенного обнаружения и реагирования (XDR). Разрозненные данные журналов этих некогда дискретных решений объединяются, чтобы ИБ-специалисты смогли получить более целостное представление о среде, что позволяет создать детальный профиль всех имеющихся рисков.

3.     Уязвимости

Изображение: Initial Access Tactics — Vulnerabilities (Trend Micro)

Риски. Уязвимости могут нарушить выполнение бизнес-операций, приведя к отключению или остановке работы системы. Возьмем, к примеру, шведскую продуктовую сеть Coop – она была вынуждена закрыть 800 магазинов после того, как злоумышленники использовали многочисленные уязвимости нулевого дня в продукте Virtual System/Server Administrator (VSA) от Kaseya. Хакеры атаковали с использованием программ-вымогателей. Количество атак нулевого дня, n-дня и бесконечного дня продолжает расти. Исследование Trend Micro свидетельствует об увеличении на 23% числа уязвимостей критической и высокой степени серьезности в течение первой половины 2022 года.

Что могут сделать предприятия? Есть 5 рекомендаций по управлению и защите от рисков – они помогут организациям создать надежную систему безопасности и избежать использования хакерами различных уязвимостей ПО:

Изображение: Prioritized Patching Process (Trend Micro)

1. Определите, какие исправления наиболее важны, и проверьте каталог известных эксплуатируемых уязвимостей от CISA.
2. Составьте план нулевого дня на случай «когда», а не «если»; постоянно отслеживайте новости на предмет подозрительной активности и оставайтесь в курсе последних атак. Следить за актуальной информацией и защитить себя поможет Trend Micro™ Zero Day Initiative™.
3. Сообщите поставщикам о возможности отката к предыдущим версиям программного обеспечения.
4. Используйте виртуальное исправление для защиты уязвимых систем в ожидании выпуска патча от поставщика.
5. Делитесь данными с заинтересованными лицами, чтобы поощрять культуру безопасности внутри организации, а также демонстрировать рентабельность инвестиций в кибербезопасность.

Изображение: Virtual Patching (Trend Micro)

4.     Устройства

Изображение: Initial Access Tactics — Devices (Trend Micro)

Риски. Переход к удаленной работе выявил уязвимости VPN – одного из исходных векторов атак, который предоставляет доступ ко всей сети. В то время как удаленный работник может получить доступ только к используемым рабочим приложениям, другие устройства в доме могут распространять вредоносное ПО через незащищенный компьютер, подключенный к VPN. А учитывая тот факт, что 82% утечек данных связаны с человеческим фактором, чем больше устройств имеют доступ ко всей сети организации, тем выше киберриски.

Что могут сделать предприятия? 63% организаций переходят от VPN к сетевому доступу с нулевым доверием (Zero Trust Network Access/ZTNA), чтобы снизить киберриски по всей поверхности атаки в рамках более продвинутой стратегии нулевого доверия. ZTNA постоянно проверяет статус пользователей и устройств и предоставляет доступ только к интерфейсу веб-портала, что не позволяет хакерам с помощью скомпрометированного устройства провести атаку. Кроме того, ZTNA обеспечивает масштабируемость, необходимую для поддержки развивающихся бизнес-операций. Для конкретного подключения приложения к пользователю не требуется высокая пропускная способность VPN, что обеспечивает доступность и согласованность операций без негативного влияния на пользовательский опыт.

5.     Island hopping

Изображение: Global Supply Chains (Trend Micro)

Риски. Практика «Island hopping» используется для перехода из внешней среды в сеть компании. Атаки на цепочки поставок программного обеспечения участились благодаря успеху Kaseya, Log4j и SolarWinds. Представьте эту практику в виде русской матрешки – внутри исходного вектора атаки лежит множество других угроз, затрагивающих службы распространения данных (DDS), открытый исходный код, инструменты управления системой и используемые приложения. Глобальный опрос Trend Micro показал, что у 52% организаций есть партнер по цепочке поставок, который пострадал от программ-вымогателей, а это означает, что их системы также подвержены рискам.

Что могут сделать предприятия? CISA опубликовала ICT SCRM Essentials, где представлены 6 ключевых шагов для обеспечения эффективной безопасности цепочек поставок программного обеспечения:

Изображение: Initial Access Tactics — Island Hopping (Trend Micro)

1. Идентификация. Определите, кто может быть подвержен атаке.
2. Управление. Разработайте политики и процедуры безопасности цепочки поставок на основе отраслевых стандартов и передовых практик, таких как опубликованные NIST.
3. Анализ. Проанализируйте оборудование, программное обеспечение и услуги, которыми пользуется компания.
4. Визуализация. Составьте карту цепочки поставок, чтобы лучше понимать, что именно закупается.
5. Проверка. Определите уровень безопасности поставщика.
6. Оценка. Определите временные рамки и согласуйте систему оценивания соответствия цепочки поставок главным принципам безопасности.

6.     Инсайдеры

Риски. Глобальный отчет Ponemon за 2022 год свидетельствует о том, что время на сдерживание инсайдерской угрозы увеличилось с 77 до 85 дней, в результате чего организации тратят больше всего денег на сдерживание. Кроме того, инциденты, на устранение которых уходило более 90 дней, обошлись в среднем в 17,2 миллиона долларов (с расчётом на год). Независимо от того, является ли инсайд случайным или злонамеренным, цена, которую приходится платить, остается высокой.

Изображение: Initial Access Tactics — Insider (Trend Micro)

Что могут сделать предприятия? Улучшение кибергигиены с помощью тренингов по повышению осведомленности о безопасности поможет предприятиям избежать случайных или злонамеренных инсайдов. Для борьбы с любыми типами инсайдов необходим непрерывный мониторинг входящего и исходящего трафика. И если этот вектор атаки будет использован, наличие плана реагирования на инциденты поможет быстро сдержать угрозу, что, в свою очередь, уменьшит финансовые последствия.

7.     Облако

Риски. Цифровая трансформация ускорила внедрение облачных технологий, что создало новые риски в сфере кибербезопасности. Отчет о кибербезопасности Trend Micro за 2022 год выявил три растущие тенденции, которые создают финансовые, операционные и репутационные риски для предприятий: майнинг криптовалют, эксплойты облачных туннелей и некорректные настройки облачного программного обеспечения. Последняя из перечисленных тенденций, по данным IBM, обходится предприятиям в среднем в 4,14 миллиона долларов.

Изображение: Initial Access Tactics — Cloud (Trend Micro)

Что могут сделать предприятия? Крайне важно использовать встроенную в облако платформу безопасности, поддерживающую мульти- и гибридные облачные среды. Ищите платформу, которая может автоматизировать как можно больше вещей: от сканирования инфраструктуры в виде кода (IaC), контейнеров и облачных рабочих нагрузок до установки четких политик безопасности и их выполнения.

Единый подход в сфере кибербезопасности для защиты от основных векторов атак

Возможно, читатели будут ошеломлены количеством продуктов безопасности, которые им потребуются. По правде говоря, развертывание и обслуживание разрозненных средств безопасности на каждом уровне просто неуправляемо, особенно с учетом дефицита навыков и текучести кадров. Можно рассмотреть возможность создания единой платформы кибербезопасности для снижения сложности работы и увеличения существующих ресурсов при одновременном обеспечении эффективного функционирования системы безопасности.

Использование единой платформы в нескольких средах, поддерживающей сторонние интеграции, обеспечивает всестороннюю видимость в единой информационной панели. Возможности безопасности, такие как автоматизация, непрерывный мониторинг и XDR, имеют решающее значение для ASRM. Наглядность и глубокая корреляция данных позволяют ИБ-группам обнаруживать, оценивать и смягчать угрозы на протяжении всего жизненного цикла поверхности атаки.

Автор переведенной статьи: компания Trend Micro.

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.