Расставьте приоритеты в средствах управления безопасностью — защита, обнаружение и устранение (часть 1)

Опубликовано: 6 Апреля, 2023
Расставьте приоритеты в средствах управления безопасностью — защита, обнаружение и устранение (часть 1)

Во второй части серии мы рассмотрим Advanced Threat Protection в Защитнике Windows для Windows 10 Корпоративная, чтобы узнать, как она может помочь организациям решить основные проблемы безопасности, с которыми они сталкиваются в настоящее время. Отмечая, что обнаружение и устранение последствий атаки так же важно, как и попытка ее предотвратить.

Введение

Большинство организаций сталкиваются с повышенной активностью киберпреступлений большой сложности, и это необходимо решать. Последствия таких атак для организации могут быть чрезвычайно разрушительными и длительными не только с точки зрения денежных потерь, но и с точки зрения соответствия и юридических последствий, а также долгосрочного воздействия на репутацию организации.

Уникальная среда организации, вероятно, будет основным определяющим фактором, для которого меры безопасности должны иметь наивысший приоритет, и это, вероятно, отличается от одной организации к другой (розничная торговля, здравоохранение, финансы, производство и т. д.), каждая со своими уникальными требования к безопасности.

Среда становится все более управляемой данными, многие организации обрабатывают большие объемы данных, которые имеют значительную ценность, и эти данные пользуются большим спросом на подпольном криминальном рынке. Организации должны осознавать ценность своих данных и защищать свою среду с учетом своих данных.

Один из способов расставить приоритеты по управлению безопасностью для организации — рассмотреть потенциальные угрозы, среду, тип данных и атрибутивное значение. При этом оценивается глубокое понимание того, какие угрозы оказывают наибольшее влияние на окружающую среду и организацию.

Области угроз, с которыми в настоящее время сталкивается большинство организаций, включают угрозы, связанные с криминальным ПО, вторжениями в точки продаж, кибершпионажем, внутренними угрозами, приложениями, случайными ошибками, физической кражей и потерей оборудования/устройств, а также отказом в обслуживании. Если организация обрабатывает объемы высококонфиденциальных данных, в некоторых отраслях с этим больше проблем, чем в других, эти угрозы окажут большее влияние на состояние безопасности организации, а также повлияют на соответствие требованиям регулирующих органов.

Помимо защиты от различных форм атак, важно уделить внимание обнаружению и устранению атак. Атаки неизбежны, и их число растет, и к этому нельзя относиться легкомысленно (мы расскажем об этом во второй части серии и рассмотрим Advanced Threat Protection в Защитнике Windows для Windows 10).

Ниже мы кратко рассмотрим основные инциденты, с которыми сталкиваются многие организации, и обсудим, где меры безопасности должны стать приоритетными с упором на предотвращение и защиту.

Предотвратить и защитить

Там, где это возможно, должны быть реализованы стратегии безопасности для защиты от форм атак, которые с наибольшей вероятностью могут повлиять на организацию. Для борьбы с этими кибертенденциями организации полагаются на средства предотвращения безопасности, основанные на аналитике, которые работают в различных средах, как мобильных, так и облачных. Поведенческая аналитика также используется для повышения безопасности пользователей и их данных.

Основные инциденты, которые следует учитывать

В настоящее время выделены эти 10 основных инцидентов, и организациям следует уделять первоочередное внимание безопасности для защиты от них:

1. Кибершпионаж

Обычно организации, обрабатывающие или хранящие очень конфиденциальные и ценные данные, становятся мишенью, и потеря или компрометация этих данных для этих организаций будет очень разрушительной. При этом типе атаки цель, скорее всего, будет выбрана конкретно, а не случайно, из-за данных, которые они содержат. Обычно это попытка завладеть интеллектуальной собственностью.

2. Криминальное ПО

Это включает в себя использование вредоносных программ для взлома систем. Одним из распространенных примеров являются фишинговые атаки. Как только злоумышленник получает контроль над системой, он может собирать информацию и совершать другие преступные действия в своих интересах.

3. Вторжения в торговые точки

Специфическая атака для захвата платежной информации. Если организация работает с такими деталями и платежной информацией, которая является очень конфиденциальной формой данных.

4. Внутренние атаки

Организации, по-видимому, предпочитают защищаться от внешних угроз, а не от внутренних угроз, и считают, что это угроза, которая должна вызывать больше беспокойства. Внутренние угрозы должны иметь одинаковый приоритет и должны быть защищены от них. После того, как посторонний получит доступ, угрозы могут проявиться так же, как и внутренняя угроза. Мы не можем полагаться исключительно на физическую защиту, угроза, исходящая от людей, часто связана с уязвимостью человека, и с ней необходимо бороться как таковую.

Существует связь между внутренними угрозами и неправомерным использованием привилегий. Часто основным мотивом атаки такого рода является способ рассерженных сотрудников отомстить или получить финансовую выгоду.

5. Злоупотребление привилегиями

Большую часть времени наибольший риск представляют те сотрудники или личности с наиболее привилегированными правами доступа. Этот риск является внутренним риском.

Изменяющиеся способы функционирования предприятий усложняют выявление несоответствий в поведении, поскольку сотрудники все чаще работают более мобильно и удаленно, вне бизнес-ограничений и в нерабочее время. Таким образом, местоположение и время больше не всегда являются гарантированной причиной для беспокойства. Кроме того, доступ к нескольким документам и учетным записям также становится нормой для сотрудников при выполнении своих обязанностей.

Важно придерживаться подхода с наименьшими привилегиями и предоставлять пользователям только те привилегии, которые им необходимы для выполнения их бизнес-функции (этот подход постоянно подчеркивается как лучший, и к нему нельзя относиться легкомысленно). Ограничение количества привилегированных пользователей/идентификаций и мониторинг этих привилегированных пользователей — хороший способ выявить любое подозрительное поведение, которое может указывать на происходящее нарушение.

Процедуры управления идентификацией и доступом — это эффективный способ управления этим риском, а также инструменты и услуги, направленные на снижение подверженности организаций человеческим ошибкам. Обратите внимание, что эти средства защиты должны одинаково хорошо работать как внутри организации, так и удаленно, чтобы быть эффективными в более мобильной рабочей среде.

6. Уязвимости приложений

Этот тип атаки, как правило, является более оппортунистическим. Веб-приложения, не прошедшие надлежащую проверку, могут представлять больший риск. Уязвимости в приложении обнаруживаются, а затем эксплуатируются, а доступ часто достигается за счет использования украденных учетных данных (что легче достигается с использованием социальной инженерии), после чего следует взлом.

7. Непреднамеренные ошибки

В отличие от нарушения, преднамеренно вызванного сотрудником, многие нарушения продолжают происходить из-за непреднамеренных человеческих ошибок, часто неизвестных ответственному сотруднику в то время. Это может включать отправку информации или сведений не тому получателю, удаление конфиденциальной информации неправильным образом или размещение данных для всеобщего обозрения, которые должны были оставаться конфиденциальными.

8. Кража и потеря

Кража или потеря устройств или аппаратных средств, содержащих незашифрованные конфиденциальные данные, является серьезной проблемой и инцидентом, который продолжает происходить.

9. Платежные скиммеры

Обычно нацеленные на организации в сфере финансов или розничной торговли, это включает в себя мошеннический захват данных, хранящихся на банковских картах, с использованием скиммеров и является основной причиной нарушений безопасности.

10. Атаки типа «отказ в обслуживании»

Проникновение в сеть и создание чрезмерного вредоносного трафика в корпоративной сети. Это часто достигается с помощью ботнетов и может сильно повлиять на бизнес-операции.

Глядя на эти 10 крупных происшествий, организации в разных секторах обнаружат, что одни инциденты относятся к ним больше, чем другие. Важно понимать риск, который каждый тип атаки представляет для вашей организации, и соответствующим образом расставлять приоритеты для вашей безопасности. При хорошем понимании следует уточнить, какие меры безопасности сделать приоритетными.

Кроме того, некоторым организациям потребуется установить приоритеты средств контроля безопасности не только на основании типа инцидента, которому они более подвержены, но и для достижения соответствия требованиям регулирующих органов, что особенно важно, например, в секторе здравоохранения.

Вывод

Необходимы хорошо продуманные сторонние решения, которые дополняют друг друга для получения хорошего многоуровневого решения безопасности для защиты от этих типов инцидентов (среди прочего) и проблем безопасности, с которыми в настоящее время сталкиваются многие организации. Элементы управления должны быть реализованы таким образом, чтобы отдавать приоритет уникальным требованиям безопасности организации на основе типов атак, которые с большей вероятностью будут нацелены на организацию и среду.

Advanced Threat Protection в Защитнике Windows для Windows 10 Корпоративная должна помочь организациям обнаруживать вредоносные действия и быстро реагировать на такие атаки.

Обратите внимание на вторую часть этой серии, в которой будут рассмотрены обнаружение и устранение угроз с акцентом на новую технологию Advanced Threat Protection в Защитнике Windows для Windows 10 для предприятий.