Усовершенствованное постоянное восприятие угроз и реагирование (часть 1)

Опубликовано: 7 Апреля, 2023

В этой серии статей мы углубимся в тему Advanced Persistent Threat (APT) и рассмотрим способы выявления и защиты от APT-атак. Мы также обдумаем эффективную стратегию реагирования на инциденты, которая должна быть на месте, если вам когда-нибудь понадобится отреагировать. Хотя вычислительный ландшафт продолжает быстро развиваться, многие из используемых APT по-прежнему основаны на методах, которые существуют уже много лет, используя эти пробелы в наших сетях, однако социальные сети, мобильные и облачные вычисления, а также ценную информацию, которую мы сейчас обрабатываем. и удержание вводят дополнительные пути и повод для атаки.

Введение

Усовершенствованная постоянная угроза (APT) — это категория методов киберпреступности, включающая непрерывные атаки на сеть с целью получения информации высокой ценности. Отдельные компоненты/методы вторжения технологии атаки могут быть хорошо известны и несложны, и от них легко защититься, но сочетание технологий, инструментов, социальных возможностей и человеческого фактора делает эту форму атаки продвинутой. Атака целенаправленная, остается скрытой и согласуется с конкретными целями.

Ландшафт угроз очень разнообразен: APT предназначены для получения финансовой выгоды, кражи, вымогательства, шпионажа, получения конкурентного преимущества, саботажа и даже мести.

APT выходят за рамки только проблемы безопасности, для бизнеса угрозы такого рода могут иметь катастрофические последствия для финансов, а также для производительности и репутации.

Предприятия более восприимчивы к APT-атакам из-за меняющейся бизнес-среды и ИТ-среды. В настоящее время ИТ-среды представляют больше потенциальных точек для эксплуатации. Разнообразные современные ИТ-среды расширяют поверхность угроз для атак и более сложны для мониторинга в целом. Расширение ИТ-среды в облако, а также требование гибкости мобильного бизнеса с помощью социальных сетей и мобильных устройств открывают новые области для вторжений и атак.

Облако также используется злоумышленниками в злонамеренных целях, так что APT-атаки также могут выиграть от снижения стоимости, повышения производительности и масштабируемости, что делает эту практику атаки еще более полезной.

APT оказались успешными и полезными для злоумышленников, предприятия должны действовать, исходя из предположения, что атаки такого рода предсказуемы, и быть готовыми к раннему обнаружению и защите от таких атак. Атаки APT не могут быть легко предотвращены, но необходимо внедрить процедуры и средства защиты, чтобы снизить риск крупномасштабного ущерба.

Идентификация APT

Почему APT сложно обнаружить?

  • APT не берут на себя прямой контроль над сетевыми компонентами или приложениями.
  • Трудно сопоставить действия по отметкам времени, поскольку атака медленная и растягивается на длительный период времени.
  • Атаки исходят из самых разных источников (часто используются распределенные ботнеты).
  • Уникальные модели поведения и сигнатуры атак
  • Трафик данных, сгенерированный атакой, скрыт (сжат, скрыт, зашифрован), что затрудняет отслеживание информации.

Все APT разные, однако у них есть ряд схожих характеристик. Большинство APT обладают следующими качествами:

  • Они разрабатываются с учетом цели и задачи (целенаправленные)
  • Они ведут себя сдержанно (остаются скрытыми и даже бездействующими в течение нескольких месяцев) и медленно реагируют (ждут, пока не создадутся оптимальные условия).
  • Задействовать скоординированную, организованную и настойчивую атаку
  • Содержит человеческий фактор (это делает эту форму атаки непредсказуемой, случайной, адаптивной, эффективной и сложной для идентификации)
  • Иметь средства связи с хостом управления и контроля
  • Хорошо финансируемый
  • Использует несколько векторов атак, технологий и методов

Защита от APT

Первый шаг к защите от этой формы атаки — знать, что именно вы пытаетесь защитить, чтобы можно было усилить внимание к безопасности там, где это важнее всего. Это достигается за счет анализа рисков и последствий и исчерпывающей документации.

Эффективный подход к защите от APT должен включать категории для определения стоимости активов, оценки вашего уровня безопасности, навыков обнаружения, плана реагирования на инциденты, плана восстановления, а также осведомленности о безопасности и обучения.

Важно, чтобы вы знали, что именно вам нужно защищать, и сосредоточивались на защите ценных активов. Консультируясь с Fortune 500 в Лондоне, я часто обнаруживаю, что мои клиенты изо всех сил пытаются защитить всю сеть, и в большинстве случаев это слишком широко. Организациям нужна ясность в отношении того, где находятся ценные информационные активы (не забудьте указать все местоположения — облачные сервисы, системы резервного копирования и мобильные устройства), когда и кто получает к ним доступ.

Углубленная оценка даст вам представление о регулярной деятельности, выделит области инфраструктуры, которые могут потребовать внимания, и с этой ясностью будет легче обнаружить любое поведение, которое может быть необычным.

Важно разделять данные по ценности, чтобы их можно было соответствующим образом защитить, это называется классификацией и не должно быть сложным — просто начните с десяти наиболее важных систем в вашей компании и работайте с ними. Когда дело доходит до снижения риска от APT, важно применять надлежащие меры безопасности к активам, которые имеют наибольшую ценность.

На этом этапе жизненно важна оценка состояния безопасности вашего бизнеса. Любые уязвимости, открытые для использования, могут быть устранены путем постоянной оценки уровня безопасности. Оценка должна охватывать следующие критерии:

  • Персонал, поставщики и партнеры должны пройти тщательную проверку.
  • Роли должны контролироваться, а доступ к ценным активам со стороны сотрудников и внешних организаций должным образом контролироваться.
  • Контроль и управление доступом всегда должны гарантировать, что только доверенные авторизованные лица могут получить доступ, чтобы свести угрозу к минимуму.
  • Сопоставьте людей, процессы и машины с доступом к ценным данным, чтобы вы знали, на чем сосредоточиться, когда это важно.
  • Выявляйте и оценивайте имеющиеся уязвимости, проводя оценку уязвимостей и упорядочивая результаты в зависимости от того, насколько они важны для вашего бизнеса.
  • Определите уже используемые методы и процедуры безопасности, а также используемые инструменты и технологии, и оцените, насколько они могут быть эффективны против APT.
  • Определите, являются ли ваши методы и технологии актуальными или требуется обновление для улучшения инфраструктуры безопасности.
  • Определите, есть ли пробелы в вашей инфраструктуре безопасности и где можно сделать улучшения.
  • Убедитесь, что у вас есть базовые передовые методы обеспечения безопасности. Только благодаря правильному выполнению основ вы можете значительно уменьшить оппортунистические атаки или случайную компрометацию.
  • Оцените свои политики паролей и аутентификации, процедуры управления исправлениями, брандмауэры и журналы. Эти основные практики должны быть рутинными и выполняться правильно.

Организации должны проявлять бдительность и располагать инструментами, технологиями и процедурами для обнаружения аномального поведения в сетях и быть в курсе, когда происходят атаки. Используйте многоуровневый подход для защиты от APT.

Вам необходимо рассматривать свой бизнес в целом (внутренний/внешний/облачный), чтобы иметь возможность эффективно отслеживать, оценивать и обнаруживать необычные события, а также обнаруживать любое повреждение APT или попытку повреждения.

Чтобы обнаружить APT, вам нужно быть гибким в своем подходе и уметь адаптироваться. APT не являются известными угрозами, и поэтому методы обеспечения безопасности, направленные на обнаружение известных угроз с помощью правил и сигнатур, будут недостаточными.

Централизованный подход к анализу с сотрудничеством между ИТ-отделом и службами безопасности поможет получить полную картину ситуации и согласовать усилия на всех платформах. Автоматизация имеет важное значение для упрощения операций по обеспечению безопасности. Автоматизированный централизованный подход поможет быстрее обнаружить, исправить и снизить риск.

Важно уметь распознавать атаку, даже если она неизбежна, собранные доказательства необходимы для установления ее цели и источника. Если атака будет успешной, доказательства, собранные с помощью ваших технологий, помогут понять, какие данные были скомпрометированы, как произошла атака, могут помочь в устранении последствий и будут полезны для дальнейшего улучшения вашей системы безопасности.

Метод многоуровневой безопасности может использовать комбинацию технологий и процедур безопасности в традиционных ИТ-средах и облаке, но должен включать:

  • Основы (брандмауэры, антивирусы, SIEM, шлюзы)
  • Используйте антивирус с обнаружением HIPS, он обнаружит эксплойты до запуска и заблокирует любые вредоносные импланты, связанные с этими эксплойтами.
  • Используйте IPS+IDS
  • Включите функции Advanced Threat Protection в шлюзе
  • Программное обеспечение для мониторинга и управления безопасностью (регистрация событий, управление исправлениями)
  • Автоматизация необходима для быстрого обнаружения и исправления
  • Инструменты песочницы для анализа трафика (анализ подозрительных файлов без ущерба для сети или ее производительности)
  • Белый список приложений (мониторинг программного обеспечения)
  • Инструменты сетевого криминалистического анализа (отслеживание и запись сетевой активности)

Вывод

APT невозможно предотвратить, и их чрезвычайно сложно обнаружить. Организации должны быть внимательны и исходить из теории о наличии APT. В первой части серии статей мы начали рассматривать подход к защите от APT, включая определение стоимости активов, оценку вашего состояния безопасности и мастерство обнаружения. Мы сосредоточимся на оставшихся областях, плане реагирования на инциденты, плане восстановления, осведомленности о безопасности и обучении в следующей статье этой серии.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023