Баланс сил
Команды специалистов по безопасности в компаниях и организациях по мере возможности держат руку на пульсе огромного количества событий и инцидентов, а также эпизодов ложных срабатываний, генерируемых инструментами информационной безопасности (ИБ). Проблема в том, что фронт работ настолько широк, что ресурсы команды распыляются. Отсутствует расстановка приоритетов, что приводит к низкому уровню контроля качества ИБ-периметра.
Согласно отчетам, более чем 80% коммерческих и open-source приложений имеют уязвимости, которые могут привести к серьезным последствиям. Например, к нарушению непрерывности бизнес-процессов или утечкам информации. При этом вредоносное ПО является лидером среди киберугроз по стоимости нанесенного ущерба.
Современные антивирусные средства неэффективны против новых вирусов и другого вредоносного ПО. Большинство традиционных старых методов защиты уже не способны обеспечить приемлемый уровень безопасности от новых неизвестных угроз и векторов атак.
Расклад сил на линии соприкосновения бизнеса и хакеров сегодня выглядит так: среднее время для обнаружения ИБ-угрозы превышает несколько месяцев, а среднее время ее устранения – несколько недель. В то же время злоумышленники имеют неограниченную по времени фору на подготовку атаки, а также возможности замаскировать и осуществить ее незаметно для бизнеса.
Почему так происходит?
Раньше для эффективного решения ИБ-задач хватало традиционного набора инструментов: антивирусы, межсетевые экраны, системы обнаружения и предотвращения вторжений и др. Обычным был «ручной» анализ и расследование инцидентов, на основе которых формировалась корпоративная база инцидентов. Также внедрялись системы мониторинга и корреляции событий, некоторые компании организовывали обмен актуальной информацией по угрозам с коллегами.
Но потом случился 2017 год с его глобальными компьютерными атаками WannaCry и NotPetya. Ущерб от NotPetya, например, в целом составил $10 млрд. Стало очевидно, что ИБ-системы и общий подход к их развертыванию, требования к функционалу и стратегиям предотвращения инцидентов на сегодняшний момент попросту устарели.
ИБ-направление в традиционной реализации оказывается слишком медленным и негибким, не позволяет бизнесу успевать за действиями хакеров. Будучи неспособным, по крайней мере, противостоять им силами своей собственной команды с надлежащим уровнем эффективности.
Целевые атаки
Все дело в том, что все возможности современных IT-решений, которые делают мир современным, цифровым и удобным, также используются для повышения эффективности атак киберпреступников. Борьба с постоянно развивающимися киберугрозами требует соответствующей, своевременной и действенной киберразведки.
Атаки в цифровом пространстве сегодня становятся настоящими IT-проектами высокопрофессиональных команд. Они носят выраженный целевой характер, когда под желаемый конечный результат набирается соответствующая команда, ее обеспечивают необходимыми инструментами, стратегией, планом, и, конечно, соответствующим вознаграждением.
Подобные целевые кибератаки нуждаются в аналогичной целевой защите, с четким представлением о конкретном типе угрозы, направленной на определенную часть IT-ресурсов бизнеса. Только верное понимание контекста угрозы, инструментов и методов противника поможет ускорить обнаружение и устранение киберугроз, сдвинуть фокус внимания с реагирования, по большей части бесполезного в современных условиях, на действенную проактивную защиту.
Как реализовать такой подход к информационной безопасности на практике?
Киберразведка боем
Главным из инструментов в борьбе с новыми и неизвестными киберугрозами, на базе которых сегодня реализуется большинство целевых атак, является стратегия Threat Intelligence (TI), что-то вроде «Разведка киберугроз».
В самом упрощенном виде TI – это набор данных, процессов и инструментов анализа внутренних и внешних киберугроз для принятия управленческих решений в области ИТ и ИБ. Подход по модели Threat Intelligence помогает на всем жизненном цикле обеспечения безопасности, поскольку включает в себя анализ самых мелких, но порой крайне важных деталей и элементов IT-систем компании.
Все начинается с подготовки, когда ИБ-команда получает четкое представление о том, что она защищает и от чего именно. Тщательно изучаются структура бизнеса и его активы, устройство взаимосвязей различных компонентов бизнес-модели компании, входные точки во внутренний IT-периметр из «внешнего мира».
В фокусе особого внимания оказываются действующие злоумышленники, текущие тенденции в области кибератак, вероятный объем возврата инвестиций от атаки и цели противника. Тщательно моделируются угрозы и сценарии действий злоумышленников.
На этапе формирования проактивной защиты собирается как можно больше информации об угрозах. Собранные из вне данные обогащаются информацией компании о своей работе, происходит отсеивание вариантов ложных срабатываний системы ИБ.
Данные о вероятных киберугрозах включают в себя более 20 разных характеристик, наиболее важные из которых – это инструменты злоумышленников и уязвимости, эксплуатируемые киберпреступниками.
Далее на этапе выявления полученную информацию и проработанные модели атак интегрируют в инструменты мониторинга и аналитики. Это делается для автоматизации борьбы с киберугрозами в режиме реального времени на основе их характеристик и сигнатур. Важный момент: этой информацией в обязательном порядке следует обменяться с другими компаниями и сторонами, задействованными в процессе обеспечения ИБ – бизнес-партнерами, аналитиками, регуляторами, производителями ПО и средств защиты.
На последнем этапе на основе всей полноты сформированной по стандартам Threat Intelligence информации определяются оптимальные реакции на угрозы и тестируются процессы реагирования на атаки.
Чем быстрее, тем безопаснее
Эффективная борьба с киберпреступниками по состоянию индустрии ИБ на начало 2020 года и прогнозам на дальнейшее развитие возможна только при ее организации на основе больших объемов, в том числе исторических, данных об угрозах, злоумышленниках, прошлых инцидентах, уязвимостях, вредоносном ПО.
Всю эту информацию необходимо правильно скоррелировать, показав все существующие взаимосвязи между разными элементами. Например, «вредоносная программа – используемые уязвимости и бэкдоры», «хакеры или группировки, которые применяли эту вредоносную программу – последние инциденты – зараженные ресурсы в сети Интернет».
Для того, чтобы вести такого рода базу данных нужна большая команда международных экспертов в области ИТ и ИБ, которые собирают, анализируют и актуализируют информацию о киберугрозах со всех точек мира. При этом они должны использовать максимально возможное количество источников информации, коммерческие и открытые, в том числе deep и dark web ресурсы, доступ к результатам исследований уязвимостей по всему миру, в первую очередь угроз типа zero-day.
Все эти данные следует постоянно обновлять через использование технологий мониторинга и поиска информации об актуальных угрозах. Результаты мониторинга должны предоставляться в доступном графическом интерфейсе с предоставлением исходных данных для анализа и корреляцией со средствами ИБ, которые непосредственно обеспечивают защиту.
Скорость реакции становится сверхважной характеристикой ИБ в целом. Допустим, сегодня хакеры вывели в обращение какую-то новую zero day уязвимость. Еще 2-3 года назад готовый эксплойт под нее появлялся лишь спустя 1-2 недели, в некоторых случаях и через месяц. Сегодня же все необходимое для использования этой уязвимости против вашей компании будет доступно на GitHub уже через 1-2 дня, а иногда и быстрее.
Нет онлайн-реакции на эти процессы – нет защиты бизнеса как таковой.
Читайте также: