Скрытые угрозы в корпоративных сетях: какие они бывают и как их искать

Современный ландшафт киберугроз характеризуется растущей сложностью атак, часто скрытых и целевых, то есть направленных на конкретные организации и сферы деятельности. В условиях, когда злоумышленники активно используют хитроумные методы, такие как APT-атаки и скрытые вредоносные программы, традиционных средств защиты, ориентированных на известные паттерны угроз, становится недостаточно. Это подталкивает компании к внедрению проактивного подхода к обеспечению информационной безопасности. Мы в «Лаборатории Касперского» уделяем особое внимание анализу сложных угроз и разработке инструментов для выявления скрытых атак, которые могут оставаться не замеченными стандартными системами защиты информации (СЗИ). Наша цель — создавать такие решения, которые не просто обнаруживают известные угрозы, но и могут адаптироваться под неизвестные ранее сценарии атак и действия злоумышленников.

Типы скрытых угроз

Для успешного обнаружения скрытых угроз в инфраструктуре компании важно понимать, с какими типами угроз в целом может столкнуться организация. Современные угрозы значительно отличаются от тех, которые были распространены ранее, и требуют иных методов защиты. Вот основные типы угроз, которые необходимо учитывать:

1. Внутренние угрозы. Включают действия сотрудников компании или злоупотребления с их стороны. Это могут быть как преднамеренные действия (инсайдерские атаки), так и случайные ошибки, такие как неосознанное подключение зараженных устройств или ненадлежащее использование конфиденциальных данных.
2. Целенаправленные атаки (APT). Злоумышленники применяют комплексные методы для проникновения в корпоративную сеть и оставления в ней незаметных «закладок», позволяющих собирать информацию или наносить вред сети в будущем. APT-атаки могут длиться месяцы или даже годы, оставаясь невыявленными.
3. Эксплуатация уязвимостей нулевого дня. Это ранее неизвестные бреши в программном обеспечении, которые еще не были исправлены. Злоумышленники активно используют их для проникновения в корпоративную сеть и внедрения вредоносного кода.
4. Атаки через цепочку поставок. Актуальный тренд среди злоумышленников последние несколько лет, когда атакующие выбирают более легкую для себя цель (например, поставщик компьютерной техники, ПО или внешняя бухгалтерия), а не пытаются атаковать компанию напрямую. Зачастую у таких компаний либо нет бюджетов на СЗИ, либо они ограничены.
5. Атаки на устройства Интернета вещей (IoT). С увеличением числа подключенных устройств, используемых в корпоративных сетях, возрастает и количество уязвимостей, связанных с IoT. Такие устройства часто не обладают достаточной защитой, что делает их легкой мишенью для атакующих.

Методы обнаружения скрытых угроз

Важно понимать, что традиционные средства защиты зачастую не способны своевременно обнаружить и нейтрализовать скрытые угрозы, поскольку их работа направлена на выявление известных паттернов атак и сигнатур. Таким образом для эффективного обеспечения безопасности компании требуется использовать комплексный подход к внедрению СЗИ, способных выявлять даже те угрозы, которые используют методы сокрытия своей активности.

Сегодня важно не просто ждать, когда система обнаружит аномалии, но и активно искать потенциальные уязвимости и следы компрометации. В этом могут помочь решения со следующими функциями:

1. Анализ поведения сети (NTA). Этот метод основывается на мониторинге сетевого трафика и отслеживании изменений в поведении устройств и пользователей в корпоративной сети. Системы анализа поведения сети могут выявлять подозрительные действия, которые отклоняются от обычного паттерна активности. Например, резкое увеличение трафика от определенного устройства может свидетельствовать о возможной утечке данных.
2. Поведенческий анализ и корреляция событий. Современные защитные решения используют поведенческий анализ, чтобы отслеживать отклонения от обычных действий пользователей и систем. Например, системы класса SIEM (Security Information and Event Management) и UBA (UserBehavior Analytics) позволяют коррелировать события из разных источников, выявляя подозрительные паттерны поведения в трафике или действиях пользователей на основе отклонений от заданных требований.
3. Проактивный поиск угроз (Threat Hunting). Проактивный поиск включает в себя ручной и автоматизированный анализ систем и сетей для выявления скрытых угроз. Это более глубокий и целенаправленный метод поиска, который не полагается на заранее известные сигнатуры атак, а использует сценарии анализа и исследование подозрительных активностей.

Построение эффективной стратегии обнаружения угроз

Наша практика показывает, что для успешного выявления и нейтрализации скрытых угроз необходим комплексный подход, включающий:

1. Внедрение современных систем мониторинга и анализа событий: интеграция таких продуктов, как Kaspersky EDR Expert и Kaspersky KUMA SIEM, для обеспечения централизованного анализа событий и корреляции данных с различных источников событий.
2. Использование Threat Intelligence: применение данных об угрозах Kaspersky Threat Intelligenceдля повышения достоверности и прозрачности данных, а также точной настройки защитных механизмов на основе информации о различных техниках и тактиках атакующих.
3. Регулярный анализ и пересмотр правил. Атаки со временем становятся сложнее, и правила корреляции и анализа данных должны постоянно обновляться. Это также касается и регулярного аудита сетевых устройств, перечня ПО, установленного на компьютерах сотрудников, обновления политик безопасности компании.
4. Повышение уровня осведомленности. Проведение специализированных тренингов по ИБ и симуляция атак для улучшения навыков реагирования и поиска угроз (например, фишинговые рассылки).
5. Подготовка специалистов. Посещение сотрудниками специализированных курсов по продуктам и технологиям, профильных конференций и мероприятий по ИБ, а также участие в различных мероприятиях по практической безопасности и моделированию атак.

В условиях усложняющегося ландшафта киберугроз «Лаборатория Касперского» стремится разрабатывать и внедрять решения, которые помогают компаниям противостоять самым сложным атакам. Скрытые угрозы требуют проактивных методов выявления, что подразумевает работу как специалистов, так и систем мониторинга. Использование интегрированных платформ, включающих поведенческий анализ, Threat Intelligence и технологии машинного обучения, позволяет нам адаптироваться к новым вызовам и обеспечивать высокий уровень безопасности для наших клиентов.

Будущее кибербезопасности — это проактивные стратегии и автоматизация процессов, и мы продолжаем работать над тем, чтобы наши решения всегда оставались наиболее передовыми.

Автор:
Ренат Гимадиев,
эксперт по архитектуре центров безопасности «Лаборатории Касперского».

Оригинал публикации на сайте CISOCLUB: "Скрытые угрозы в корпоративных сетях: какие они бывают и как их искать".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.