Планирование восстановления после кибератаки
В этой статье мы увидим средства кибербезопасности и почему это так важно. Из-за растущего числа программ-вымогателей и других киберугроз в Интернете важное значение приобретают методы киберлечения.
Большая часть усилий в области кибербезопасности сосредоточена на предотвращении утечки данных и защите цифровых активов вашей компании. Однако меры безопасности могут не сработать (или, в худшем случае, вообще не существовать), и вы можете оказаться в центре утечки данных. Борьба с утечками данных является критическим элементом кибербезопасности, которую мы называем ремедиацией кибератак .
На этапе исправления ваша организация стремится уменьшить или устранить последствия нарушения безопасности. Процесс исправления зависит от проблемы и компании. Чтобы предотвратить распространение бреши, некоторые используют стратегию «убивать ее, пока она не остановится», отключать или уничтожать уязвимые системы.
Это может быть уместной реакцией в различных ситуациях. Однако, если у вас есть четко определенный процесс исправления ,
Почему восстановление кибербезопасности так важно?
Согласно исследованию Mimecast, проведенному в 2019 году, для обнаружения двух третей нарушений безопасности требуется не менее месяца (а может и больше). Если вы не можете определить нарушение безопасности, конфиденциальная и важная информация от вашей компании может быть доступна сейчас. Поэтому предотвращение угроз должно стать неотъемлемой частью вашей стратегии кибербезопасности. Предотвращение угроз позволяет выявлять нарушения безопасности по мере их возникновения с помощью решений для анализа угроз.
Планирование реагирования на инциденты (IRP)
Первым шагом в успешном процессе лечения является наличие IRP. Это поможет вам обнаружить существующие бреши в безопасности до взлома, откуда наиболее вероятны атаки и какие меры следует предпринять во время инцидента безопасности.
Короче говоря, IRP уличит вас в нарушении:
- Выявление текущих недостатков безопасности и предоставление рекомендаций по их устранению
- Угрозы сдерживаются и устраняются, и для этого принимаются меры.
- Создание плана восстановления для затронутых систем
Однако исправление не обязательно должно ограничиваться IRP. Некоторые атаки потребуют четких ответов.
Фишинговые атаки
Фишинг — это тип кибератаки, который заключается в том, чтобы обманом заставить цель загрузить или щелкнуть вредоносный файл или ссылку (по сути, заставляя жертву предпринимать любые действия в пользу злоумышленника). Это основной принцип фишинговой атаки. С другой стороны, сложность и тип фишинговой атаки могут различаться.
Вы можете столкнуться с тремя различными типами фишинговых атак:
- Фишинг по электронной почте. Как показывает приведенный выше статистический отчет, злоумышленники предпочитают распространять вредоносное ПО по электронной почте, и один из способов сделать это — фишинг по электронной почте. Фишинг по электронной почте использует электронную почту, чтобы заманить жертву; Возможно, вы нашли его. Этот метод используется злоумышленниками, чтобы заставить пользователей раскрыть важную информацию, например учетные данные для входа. Обычно есть что-то, что отталкивает людей, и не все фишинговые письма одинаковы.
- Smishing и Vishing: Как и при фишинге электронной почты, злоумышленники используют SMS или голосовые вызовы, чтобы заманить жертв (VoIP или телефон). Жертвы могут получать мошеннические звонки или сообщения, предупреждающие их о проблемах с безопасностью и предлагающие им принять немедленные меры.
- Социальная инженерия. Социальная инженерия использует человеческие слабости или психологию для получения доступа к системе, данным, личной информации и т. д. Это искусство манипулирования людьми. Это не связано с использованием технических методов взлома. Злоумышленники используют новые методы социальной инженерии, потому что обычно легче использовать естественную склонность жертвы к доверию.
Исправление фишинга
Обычно вашей компании лучше иметь механизм, с помощью которого сотрудники могут сообщать о предполагаемых попытках фишинга. При правильном обучении по вопросам безопасности они смогут лучше обнаруживать попытки фишинга с течением времени, снижая риск того, что ваша компания станет жертвой таких атак.
Однако более изощренные атаки иногда выходят за рамки системы безопасности, что требует использования методов исправления. В этой ситуации крайне важна стратегия реагирования на инциденты. В этот план должны быть включены методы борьбы с попытками фишинга. Не существует универсального подхода, и лечение должно учитывать различные ситуации, поэтому планирование так важно.
Вы должны включить следующие процедуры (до и после приступа):
- Сканирование на наличие вирусов и вредоносных программ. Если вы открыли фишинговую ссылку или стали жертвой атаки, первое, что вам нужно сделать, — это проверить компьютер на наличие вирусов и вредоносных программ. Злоумышленник мог включить вредоносное ПО в электронное письмо, и если атака прошла успешно, ваш компьютер мог быть скомпрометирован. Некоторое антивирусное программное обеспечение может обнаружить инфекцию до того, как она нанесет вред компьютеру. Однако более сложные атаки могут быть успешными. В таких ситуациях вы должны немедленно проверить свою систему, чтобы избежать дальнейшего повреждения.
- Системы отчетности о фишинге для организаций. Предоставьте своим сотрудникам возможность сообщать о подозрительных попытках фишинга. Это может помочь избежать успешных атак, а также позволит вашим сотрудникам применить на практике свое обучение по вопросам безопасности.
- Ликвидация и сдерживание: если вирусы были обнаружены, необходимо как можно скорее начать профилактику и ликвидацию. Дополнительные сведения см. в разделе об удалении вредоносных программ ниже.
- Программное обеспечение для автоматизированного устранения спама. Существует несколько технических решений, которые вы можете использовать для лечения или, возможно, предотвращения атак. Автоматическое устранение спама является одним из таких технических приложений. Многие предприятия предоставят системы сканирования электронной почты, которые будут тщательно обнаруживать и удалять спам и фишинговые электронные письма; Тем не менее, они не безошибочны. Для писем, которые действительно проходят, необходима дополнительная осторожность.
Вредоносные атаки
Масштабы и эффективность атак вредоносных программ сильно различаются. Вредоносное ПО — это термин, используемый для описания вредоносного программного обеспечения, предназначенного для проникновения в информационные системы и остающегося незамеченным.
Существует несколько форм вредоносных программ:
- Шпионское ПО. Шпионское ПО — это тип вредоносного ПО, которое заражает компьютер или сеть пользователя для сбора информации о потреблении данных. В других ситуациях злоумышленник может использовать его для кражи личной информации, скрывая информацию, введенную вами на вашем компьютере (этот тип вредоносного ПО также называют «кейлоггерами»). Злоумышленники также могут использовать вредоносное ПО, чтобы шантажировать вас, используя против вас историю вашего браузера.
- Программа- вымогатель: это форма вредоносного ПО, которая отличается от других. Не позволяя вам получить доступ к вашей информационной системе, этот вирус держит ее в плену. Вредоносное ПО часто блокирует доступ пользователя к машине, шифруя все файлы. А надежное шифрование трудно взломать, если у вас нет закрытого ключа, который злоумышленники готовы предоставить при выплате выкупа (отсюда и название, пример одной из самых печально известных атак программ-вымогателей, WannaCry ниже) см.).
- Атаки типа «человек в браузере» (MITB). В атаках MitB злоумышленники внедряют вредоносное ПО в компьютер, чтобы оно могло установить себя в браузере и собирать данные о вашей активности. Как только вирус получает всю информацию, которую он запрограммировал для захвата, он передает ее злоумышленнику.
Исправление вредоносных программ
Удаление вредоносного ПО — сложный путь. Немногие предприятия сталкиваются с проблемой очистки от вредоносных программ из-за их количества и сложности. С другой стороны, защита от вредоносных программ — это первый шаг в очистке от вредоносных программ. К счастью, киберзащитники так же умны, как и злоумышленники. Вы можете быть уверены, что что бы ни развил атакующий, защитник создал что-то, чтобы нейтрализовать это, если не сейчас, то в ближайшее время.
Антивирус — лучший друг специалиста по кибербезопасности, поскольку он является первой линией защиты любой сети или компьютерной системы. Антивирусное программное обеспечение полезно, поскольку оно может бороться с широким спектром вредоносных программ.
В большинстве случаев злоумышленникам придется выйти за рамки антивирусной защиты, чтобы создать вредоносное ПО, если они могут это сделать. Большинство вредоносных программ атакуют компьютеры, на которых нет антивирусного программного обеспечения или которое неправильно настроено.
Если вирусу удалось обойти меры безопасности, следует немедленно начать процесс очистки.
- Сканирование на вирусы. В первую очередь проверьте наличие вирусов на своем компьютере или в сети; Большинство антивирусных программ имеют эту возможность.
- Выявление вредоносного ПО . Следующий шаг — выяснить, какой тип вредоносного ПО у вас есть. Что это за вредоносное ПО? Используется ли он в какой-либо другой компьютерной системе? Влияет ли это на вашу стороннюю сеть? (Подобные вопросы важны для вашего пост-IRP).
- Предотвращение: после обнаружения вредоносного ПО его необходимо локализовать. Это включает в себя предотвращение заражения других «соседних» компьютеров. Профилактика может потребовать закрытия некоторых видов деятельности, замедления производства, но это неизбежное зло, поскольку дополнительные заражения могут еще больше разрушить вашу фирму.
- Искоренение: после того, как вирус будет взят под контроль, вы захотите удалить его со всех устройств и сетей. Помня о том, что уязвимую систему может потребоваться отключить навсегда, вам нужно будет обсудить соответствующий план действий со своей командой безопасности. Всегда полезно подумать о том, как эти решения повлияют на ваш бизнес в долгосрочной перспективе.
- Очистка . Последним шагом является очистка системы (удаление или переустановка файлов) и выполнение окончательной проверки, чтобы определить, не осталось ли вредоносного ПО.