Современные организации по кибербезопасности начали менять свой подход к защите от хакеров, теперь Blue Team (команда специалистов по информационной безопасности, отвечающая за защиту от кибератак) выявляет угрозы, обращая внимание на поведенческие отклонения внутри инфраструктуры. О наиболее эффективных приемах Blue Team 8 июня сообщили «Известиям» эксперты российского разработчика решений в области информационной безопасности exploitDog (НИР).
Одним из главных индикаторов компрометации системы считается неожиданное повышение привилегий пользователей. В штатном режиме права сотрудников строго ограничены их должностными ролями. Если работник склада внезапно получает доступ к финансовым архивам или права администратора, это становится безусловным сигналом для защитников. Подобное событие может быть следствием технической ошибки, однако Blue Team запускает сценарий проверки.
Другим инструментом защиты выступают «медовые ловушки» (ханипоты). Это ложные цели, имитирующие базы клиентов, финансовую отчетность или внутренние сервисы. Данные объекты оснащаются сигнализаторами и средствами мониторинга, но при этом они не используются в реальных рабочих процессах компании. Любое обращение к ханипоту автоматически означает присутствие в сети постороннего, занимающегося разведкой.
Современный подход Blue Team также подразумевает непрерывный мониторинг всей цифровой среды. Ключевыми факторами риска при таком наблюдении признаны появление в сети неизвестных устройств и внезапная остановка внутренних сервисов. Команды безопасности рассматривают любые технические сбои как потенциальные инциденты, особенно если они сопровождаются необычной активностью пользователей.
Современный подход также включает работу с поведением персонала через учебный фишинг и проверки. Специалисты могут оставить у входа в офис флешку со встроенными сигнализаторами. Если сотрудник подключает носитель к компьютеру, команда фиксирует уязвимость и направляет пользователя на обучение. Аналогично проверяется устойчивость к фишинговым письмам на рабочую почту.
Дополнительно Blue Team учитывают сценарии СМС-бомбардировок, которые используются для отвлечения внимания сотрудников безопасности. Пока один контур защиты работает с локальным инцидентом, второй анализирует инфраструктуру на предмет скрытой активности хакеров.
Подход экспертов базируется на непрерывном мониторинге, где факторами риска признаны появление неизвестных устройств и внезапная остановка внутренних сервисов. Современная кибербезопасность смещается от простой защиты периметра к поиску аномалий внутри сети, исходя из логики, что злоумышленник уже может находиться в системе, добавили в НИР.
Официальный представитель МВД России Ирина Волк 5 июня сообщила, что глава ведомства Владимир Колокольцев принял участие в совещании министров внутренних дел и общественной безопасности государств — членов Шанхайской организации сотрудничества (ШОС), которое прошло в Бишкеке. В ходе совещания представители стран обсудили кибербезопасность. Колокольцев подчеркнул, что киберпреступность становится более сложной и международной, что делает необходимым координацию усилий стран.