Самая большая поверхность технической атаки в вашей компании и как ее уменьшить

Опубликовано: 4 Апреля, 2023
Самая большая поверхность технической атаки в вашей компании и как ее уменьшить

Безопасность — это управление рисками. Другими словами, есть некоторые вещи, о которых вам действительно следует беспокоиться, некоторые вещи, за которыми важно следить, и некоторые вещи, из-за которых вам не нужно терять много сна. После того как вы определили приоритеты рисков, с которыми сталкивается ваша среда, вы можете заранее справиться с каждым из них.

Когда дело доходит до ИТ-инфраструктуры, какие основные области риска вам следует опасаться? Или, другими словами, на что вы должны потратить большую часть своего времени, энергии и денег, которые вы заложили в бюджет на защиту от рисков? Системные и сетевые администраторы по-разному отвечают на этот вопрос, но это важный вопрос, который нужно задать, и не только задать, но и получить на него ответ, основанный на фактических данных.

Чтобы помочь нам сориентироваться в этой теме, я обратился к коллеге с большим опытом управления ИТ. Келвин Джонс — опытный ветеран ИТ-индустрии с более чем 20-летним опытом. Он является сертифицированным ИТ-менеджером в Университете Кейптауна, Южная Африка, и за эти годы накопил более 20 сертификатов от Novell, Microsoft, Cisco и других. Он родом из Канады и несколько лет работал над ИТ-проектами для агентств ООН в Женеве, Швейцария, прежде чем обосноваться в Дурбане, Южная Африка, где в настоящее время управляет облачными сервисами для CLOUD29. Давайте посмотрим, что мы можем узнать из опыта Кельвина по минимизации поверхности атаки, с которой сталкивается типичная ИТ-инфраструктура.

Вы можете быть удивлены, а может и нет

Эл. адрес. На мой взгляд, это самая большая поверхность атаки в любой компании.

После этого вступительного слова вы можете согласиться или, возможно, готовы вскочить и не согласиться с тем, что электронная почта не является самой большой поверхностью атаки, но подумайте о конечных точках, которые она затрагивает и раскрывает. Затем вы можете сказать: «Подождите, работа в Интернете еще более распространена и, по вашему определению, это еще большая поверхность для атаки!» Что ж, не стесняйтесь не соглашаться, но разница между электронной почтой и браузером заключается в следующем:

Во-первых, большинство сотрудников сегодня понимают, что не хотят посещать определенные сайты.

Во-вторых, брандмауэр компании уже блокирует посещение известных сомнительных областей всемирной паутины.

Однако с электронной почтой их корпоративный почтовый ящик является их надежным компаньоном. Будучи таковыми, сотрудники теряют бдительность при его использовании, увеличивая угрозу и вероятность того, что какой-нибудь плохой мальчик, например программа-вымогатель, сможет проникнуть внутрь. Риск того, что это произойдет через браузер, есть, но гораздо меньше. Тем не менее, я должен признать, что количество загрузок и кликбейтных атак прямо с домашней страницы современных браузеров с поддержкой новостей растет и становится очень изощренным. Я сам стал жертвой этого в прошлом году, но это уже другая история.

Размер вашей компании также не имеет значения, от домашнего офиса до предприятия, электронная почта является самой большой поверхностью атаки в вашей компании.

Сначала я думал, что Office 365 (O365) или даже его конкурент Gmail для бизнеса помогут компаниям перейти на более безопасную систему электронной почты, которая не основана на POP или небезопасной платформе IMAP. В конце концов, O365 растет как на дрожжах, и Google, похоже, захватывает большую часть рынка.

Пока этот переход происходит, не все малые и средние предприятия еще не присоединились к нему, в основном из-за затрат. Я выделяю системы, основанные на POP и IMAP, потому что сегодня они обычно дешевы, а они дешевы, потому что антивирусные (AV) и антиспамовые (AS) механизмы обычно бесплатны и не так хорошо обслуживаются, как их платные аналоги.

Фактически, в решении облачных приложений (CloudApps & Desktops), которое мы создаем для наших клиентов, мы не разрешаем использовать электронную почту POP и IMAP, протоколы по умолчанию блокируются брандмауэром центра обработки данных. Мы рекомендуем использовать наш собственный сервер Exchange в центре обработки данных или какую-либо форму почты O365. Мы разрешаем протоколы POP и IMAP, если они могут доказать, что используют известную или надежную платформу, такую как O365 или Gmail для бизнеса, или имеют надежную систему безопасности для входящей почты. Если у них нет ничего из вышеперечисленного, мы предлагаем им дополнительную услугу, которая очищает нашу электронную почту в течение многих лет, Mimecast. Я не владею акциями Mimecast и не работаю в компании, и, несмотря на мои разногласия по поводу направления, в котором они движутся с их ценовой и партнерской моделью, они по-прежнему создают то, что я искренне считаю лучшей в мире защитой электронной почты и архивированием. система.

Стратегия глубокоэшелонированной защиты для борьбы с программами-вымогателями

Прежде чем мы углубимся в это, позвольте мне объяснить, как мы используем наши брандмауэры, удаленный мониторинг и управление (RMM), антивирус (AV), RansomFree и Mimecast в рамках стратегии глубокой защиты для борьбы с программами-вымогателями, фишингом и атаки олицетворения в наших системах электронной почты и облачных приложений. Вот как мы уменьшаем нашу самую большую поверхность атаки, которая является электронной почтой.

Начнем с брандмауэра. Я не хочу преуменьшать значение брандмауэра, но и не буду превозносить его достоинства. В некоторых случаях маршрутизатор NAT может быть почти таким же эффективным, если он имеет базовую блокировку исходящих портов. Тем не менее, у нас есть брандмауэр Fortigate в центре обработки данных, и мы рекомендуем его нашим клиентам, когда им нужно контролировать свою пропускную способность, гарантируя, что их интернет-соединение используется только для бизнеса. Настоящим преимуществом, которое я обнаружил, является способность брандмауэра перехватывать атаки с набором номера, которые могут быть запущены с устройства в сети компании. У многих поставщиков брандмауэров есть эта функция, и они ведут список известных бот-сетей, чтобы помочь остановить атаку, запущенную с одной из конечных точек в вашей локальной сети, которая в конечном итоге может привести к выкупу ваших систем. Это первый уровень нашей глубокоэшелонированной защиты. Я также использую брандмауэр для приоритизации определенного трафика для обеспечения качества обслуживания. Этих двух функций нет у обычного устройства NAT, домашнего интернет-маршрутизатора.

Давайте перейдем к RMM и AV, оставив Mimecast напоследок. На стороне RMM мы запускаем скрипт, который предупредит нас, если будут найдены выкупленные файлы. Хотя это не защитит систему от программ-вымогателей, это даст вашим техническим специалистам предупреждение, оптимистично говоря, достаточно рано, чтобы они могли подготовиться к более эффективному взаимодействию с клиентом и своевременному восстановлению системы.

Что касается антивирусного движка, мы используем Bitdefender, потому что мы впервые обнаружили, что он сочетает в своем движке методы борьбы с программами-вымогателями. Он поставляется через SolarWinds RMM, что упрощает отслеживание и обслуживание. По крайней мере, одна известная нам атака привела к отключению сервера при получении выкупа, и поскольку атака не была встроена, поэтому при перезапуске сервера атака была смягчена достаточно эффективно, так что потребовалось лишь несколько зашифрованных файлов. восстановлен без необходимости полного восстановления системы. Хороший!

Однако это заставило нас искать еще большую защиту, и мы наткнулись на RansomFree. Это хороший бесплатный борец с программами-вымогателями в стиле приманки, который работает. Я признаю, что мы не размещаем его во всех наших системах облачных приложений, но мы предлагаем его клиентам, которым нужен дополнительный уровень. Это, как правило, подсказывает пользователям немного больше о наших действиях, что нам нравится, и когда вы впервые входите в систему, это не полностью бросается в глаза. Тем, кто пользуется, нравится. Это бесплатно, как следует из названия, и всегда будет таковым, по словам его создателей, так что стоит посмотреть, если вы о нем не слышали.

Наконец, давайте поговорим о Mimecast. Здесь я хотел бы спросить, есть ли у кого-нибудь другие предложения о продуктах, которые, по вашему мнению, могут быть такими же хорошими или лучше (Ответьте в комментариях или напрямую Митчу). Честно говоря, их стоимость и партнерская модель заставили меня задать этот вопрос. вопрос. Если бы не это, я бы их безудержно хвалил. Итак, что же такого хорошего в их продукте безопасности? Я нашел три основных элемента, которые обеспечивают безопасность помимо надежных AV и AS. У них есть:

  • многоуровневая защита навесного оборудования
  • защита ссылок
  • защита от олицетворения

Mimecast называет это защитой вложений, но я называю это «многоуровневой» защитой вложений, потому что они недавно улучшили эту услугу. Позвольте мне дать вам основное изложение каждого из них, вы можете проверить их в Интернете для более глубокого погружения, если это необходимо.

Многоуровневая защита вложений

Эта служба сканирует входящие вложения и передает их вам несколькими способами, в зависимости от того, как вы ее настроите. В одном методе он буквально преобразует каждое вложение в «безопасное» вложение, создавая что-то вроде обычной текстовой версии исходного документа. Ни код, ни вирусы, ни атаки по телефонной линии невозможны. Большинство из них не являются поклонниками этого, поскольку они во многом полагаются на форматирование, поэтому вариант, который мне больше всего нравится, — это Pre-Emptive Sandbox. Это открывает каждое вложение в песочнице, чтобы увидеть, не запускаются ли какие-либо вирусы или что-либо пытается позвонить домой. Его можно настроить так, чтобы он открывал только определенные типы документов и очищал их перед передачей вам. Они только что сделали доступной потрясающую новую функцию, и именно поэтому я называю эту защиту «многоуровневой» вложениями. Его можно настроить не только для очистки документа в песочнице, но и для замены любых ссылок в документе безопасными ссылками. Если пользователи щелкают ссылку в документе, они перенаправляются к функции безопасности Mimecast Link Protect. Это круто или как? Возможно, вы думаете о том, насколько медленным это должно сделать вашу электронную почту; Однако. Должен сказать, хотя могут быть небольшие задержки, он невероятно эффективно делает все это.

Защита ссылки

Когда пользователь щелкает ссылку в своем электронном письме или вложение, которое было отсканировано с защитой вложения и настроено, как описано выше, он перенаправляется на «защитный» сайт Mimecast, где проверяется ссылка, и, как они говорят на одном из своих порталов сообщества, система «выполняет многоуровневую проверку безопасности на целевом сайте». Если ссылка оказывается безопасной, пользователь перенаправляется на исходный веб-сайт. Поговорите о коде ошибки ID10t, подтверждающем вашу электронную почту! Вы находите это таким же крутым, как и я? Если этого недостаточно, получите это, его можно настроить на автоматическое обучение конечных пользователей. После определенного процента кликов по защищенным ссылкам система направит их на страницу, которая объясняет опасность неизбирательного нажатия на ссылки и информирует о том, что пока они защищены. они все еще должны быть бдительными. Есть ли что-нибудь, что вы используете или нашли с такой же или похожей функциональностью? Я хотел бы услышать об этом.

Защита от олицетворения

Это то, что Mimecast разработал и просто раздал. Я считаю, что они сделали это, потому что это, вероятно, наименее эффективный из всех их продуктов, но это в основном потому, что настройки управляются в соответствии с критериями, которые вам нужно указать. Он пытается использовать общие шаблоны и идентификаторы, которые можно найти в «китобойных» атаках, направленных на высшее руководство. Эти атаки обычно обходят спам-модули, потому что они не являются спамом и не содержат подозрительных ссылок. В любом случае, он доказал свою эффективность и добавляет еще один уровень к вашей стратегии защиты электронной почты.

Последние мысли

Как и в материальном мире, в виртуальном тоже нет идеальных систем безопасности. Тем не менее, все еще существует ряд систем, которые в сочетании для создания стратегии глубокоэшелонированной защиты могут быть очень эффективными. В качестве анекдота, используя вышеизложенное, нам удалось запустить наши облачные сервисы на 100% без выкупа в 2016 году, и с тех пор только одна клиентская система была выкуплена. Хотя кому-то немного неловко признавать, мы все же гордимся нашим достижением, что до момента написания этой статьи из тысяч пользователей в нашем облаке только 12 пользователей, связанных с этим клиентом, были затронуты программами-вымогателями.. Я считаю, что это говорит о силе уменьшения вашей поверхности атаки не только в вашей электронной почте, но и на всех уровнях. Надеюсь, что-то из этого поможет многим из вас. Если у вас есть какие-либо предложения по улучшению или какие-либо другие продукты, которые, по вашему мнению, могут стать хорошей заменой Mimecast, пожалуйста, дайте мне знать, я хочу услышать об этом!

Bing Images. Лицензия = все Creative Commons

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023