Расставьте приоритеты в своих средствах управления безопасностью — защита, обнаружение и устранение (часть 2)

Опубликовано: 6 Апреля, 2023
Расставьте приоритеты в своих средствах управления безопасностью — защита, обнаружение и устранение (часть 2)

на нашу рассылку новостей WindowSecurity.com в режиме реального времени

Microsoft недавно объявила о выпуске Advanced Threat Protection в Защитнике Windows для корпоративного использования, призванного помочь в борьбе с растущим числом изощренных киберпреступлений.

Потенциальные риски безопасности продолжают расширяться, и, следовательно, список мер безопасности продолжает расти. Хотя не всегда возможно внедрить все средства контроля, важно, чтобы организация знала, какие средства контроля должны иметь приоритет над другими, и обеспечивала эффективное внедрение этих основных средств контроля.

В первой части серии мы кратко рассмотрели основные инциденты с угрозами, с которыми сталкиваются организации, и необходимость соответствующего определения приоритетов безопасности.

Введение

Развитие киберугроз и постоянно растущий пул ресурсов, доступных киберпреступникам, вызывают беспокойство, и из-за этого киберпреступники разрабатывают сложные вредоносные программы, мошеннические мобильные приложения и более устойчивые ботнеты. Киберпреступникам становится все легче проникать в корпоративные сети. После взлома атаки, как правило, остаются незамеченными в течение длительного времени - в течение недель или даже месяцев, и после обнаружения требуется еще как минимум несколько недель (обычно месяцев) для надлежащего реагирования и сдерживания атаки. За это время наносится огромный ущерб: данные скомпрометированы, а конфиденциальность нарушена.

Чтобы противостоять изощренности этих атак, организациям также необходимо улучшить свои методы безопасности. Стратегии безопасности должны включать точное и быстрое обнаружение, анализ в режиме реального времени, а эффективная стратегия исправления всегда должна быть в рабочем состоянии, поскольку вероятность атаки выше, чем вероятность того, что она не произойдет. Готовность имеет ключевое значение.

Напомним, что основные области угроз, с которыми в настоящее время сталкивается большинство организаций, включают угрозы, связанные с криминальным ПО, проникновение в торговые точки, кибершпионаж, внутренние угрозы, приложения и связанные с ними уязвимости, случайные ошибки, физическую кражу и потерю оборудования/устройств, а также отказ в обслуживании (подробности см. в первой части).

Еще одной проблемой является время, необходимое организации для обнаружения инцидента и реагирования на него. Прежде чем обнаруживается инцидент, проходит значительное количество времени, и за этим часто следует продолжительный период времени для сдерживания этого инцидента. Это проблема, с которой сталкиваются многие организации, и ее необходимо решить, поскольку чем больше времени требуется для обнаружения инцидента и реагирования на него, тем выше потенциальный ущерб.

Расширенная защита от угроз в Защитнике Windows направлена на удовлетворение некоторых требований к безопасности, с которыми сталкиваются организации, и, учитывая некоторые из основных проблем безопасности, с которыми в настоящее время сталкиваются многие организации, это решение может быть полезным для некоторых.

Для других это может рассматриваться как хороший дополнительный уровень или неотъемлемая часть их существующей стратегии безопасности для дальнейшей защиты для достижения наилучшего возможного многоуровневого подхода. Это должно быть особенно полезно в отношении сокращения времени, необходимого для обнаружения инцидента, а также должно сократить время исправления.

Обнаружение и исправление

Обнаружение атаки и устранение последствий атаки — проблема для многих организаций. Вероятность возникновения инцидента высока, и возможность обнаружить и узнать, что атака произошла как можно быстрее, является единственным способом сдержать атаку и быстро отреагировать, чтобы уменьшить причиненный ущерб.

Обнаружение атак совершенствуется, и это было и остается в центре внимания благодаря возможности собирать и обмениваться разведывательными данными.

Microsoft предполагает, что организациям требуется более 200 дней, чтобы обнаружить брешь в системе безопасности, и 80 дней, чтобы ее локализовать. Каждый инцидент обходится организациям в миллионы, а также оказывает существенное влияние на организации в ряде неденежных аспектов. Организации ощущают последствия в отношении подрыва репутации, а также проблем с доверием и соблюдением нормативных требований.

Необходимо расставить приоритеты в элементах управления безопасностью, внедрить их и максимально защитить свои системы. Однако не менее важно убедиться, что у вас есть процедуры для эффективного обнаружения атаки, а также стратегия сдерживания и восстановления.

Если атаки не могут быть полностью заблокированы, наличие доступа к нужным аналитическим данным позволяет быстрее обнаруживать атаку, значительно сокращая окно возможностей для злоумышленника и тем самым сводя к минимуму вероятность потерь и/или ущерба. Подход, основанный на аналитике, обеспечивает многоуровневую модель безопасности, которая защищает по множеству каналов, обеспечивая при этом необходимые атрибуты для баланса риска, затрат и удобства для пользователя.

Стратегии обнаружения в идеале должны обеспечивать следующее:

  • Видимость и контекст киберинцидента во всей сети и системах
  • Возможности расширенного анализа (способность обнаруживать поведение, выходящее за рамки нормы, и указывать угрозы на основе уникального профиля рисков организации, расширенный анализ угроз)
  • Предложите рекомендации по соответствующим корректирующим действиям, чтобы быстро и эффективно сдержать и смягчить угрозу

Именно здесь Windows Advanced Threat Protection может оказаться большим подспорьем для многих организаций.

Расширенная защита от угроз в Защитнике Windows

Организации должны иметь возможность защищаться от вредоносных действий, обнаруживать их и реагировать на них в очень динамичной и постоянно меняющейся среде угроз. Расширенная защита от угроз в Защитнике Windows призвана помочь организациям защищать, обнаруживать киберпреступления и реагировать на них, поскольку традиционных методов больше недостаточно.

Эта технология будет встроена в Windows 10 и, таким образом, будет поддерживаться и обновляться с помощью облачной серверной части.

Advanced Threat Protection в Защитнике Windows обеспечивает новый уровень защиты от взлома в стеке безопасности Windows 10. Он помогает обнаруживать угрозы, которые преодолевают другие средства защиты, предоставляет организациям данные для исследования конечных точек взлома и рекомендует стратегию реагирования. Он сможет уведомлять организации об атаке, сокращая время обнаружения и, следовательно, время восстановления.

Похоже, что он работает на основе обнаружения нестандартного поведения или активности в системе, а не обнаружения вредоносных программ.

Стратегии машинного обучения будут пытаться лучше понять закономерности, связанные с атаками и перекрестными ссылками на вредоносное ПО.

Технология предоставляет информацию о том, кто, что и почему в отношении атаки. Он использует комбинацию поведенческих датчиков Windows, облачной аналитики безопасности, аналитики угроз и аналитики безопасности больших данных, чтобы помочь в обнаружении атак.

Технологии безопасности операций с данными обеспечивают следующее:

  • Это упрощает исследование предупреждений
  • Он исследует всю сеть на наличие признаков атаки
  • Проверяет действия злоумышленников на устройствах
  • Он получает подробные следы файлов, чтобы предложить способ ответа
  • Это облегчает понимание того, когда произошла атака, где произошла компрометация и какой ущерб был нанесен

Упрощенные инструменты расследования и облачные сервисы помогают сделать реакцию на атаку проще и эффективнее.

Вывод

Расширенная защита от угроз в Защитнике Windows кажется хорошим дополнительным уровнем защиты, однако другие сторонние традиционные инструменты и стратегии для защиты от таких инцидентов по-прежнему будут необходимы.

Новая технология будет встроена в Windows 10 для предприятий, и, хотя в настоящее время она проходит тестирование, она еще не общедоступна. Это будет добавленная функция безопасности к набору новых функций безопасности, предоставляемых Windows 10.

Важно помнить, что обнаружение и исправление являются неотъемлемой частью стратегии безопасности и играют центральную роль в обеспечении того, чтобы в организации была внедрена расширенная процедура для снижения потенциального ущерба от любой атаки. Быстрое и эффективное обнаружение и реагирование на действия могут значительно уменьшить последствия атаки.

на нашу рассылку новостей WindowSecurity.com в режиме реального времени

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023