Целевая кибератака на компанию: в чем отличия от массовых атак и как предотвратить?

29 апреля 2021
Если ваша компания процветает, есть риск, что она может стать объектом пристального внимания со стороны кибермошенников. Они будут месяцами искать уязвимости в защите компании, чтобы добиться желаемой цели.

55db822e9bd266c9a38cba285a958d5d.jpgНо если грамотно организовать систему безопасности, хакерам придется уйти ни с чем. Как это сделать, рассказал заместитель директора, начальник отдела информационной безопасности Банка «Санкт-Петербург Анатолий Скородумов на онлайн-встрече GlobalCIO|DigitalExperts «Аспекты информационной безопасности».

Для начала нужно разобраться, каковы особенности целевых атак. Целевая атака – это действия против конкретной компании, организации, ведомства. Как правило, такие атаки имеют совершенно конкретную цель: злоумышленники абсолютно точно знают, какая информация представляет для них ценность. Целевые атаки носят длительный характер - как в части подготовки, так и в реализации. Еще одна особенность ЦА – хакеры могут создать нужное ПО с нуля, чтобы взломать конкретную организацию. Если злоумышленникам удается добиться своей цели, то последствия для организации оказываются очень серьезными.

Но есть и хорошие новости! Зачастую в целевых атаках используются те же механизмы взлома и проникновения, что и при обычных массовых атаках. А значит, подойдут системы защиты против обычных массовых кибератак. Главное, подойди к созданию системы информационной безопасности системно.

Действия хакеров при целевых атаках можно условно разделить на несколько этапов. И на каждом этапе будут эффективны свои системы защиты.

1. Противодействие на этапе подготовки атаки. Основная задача специалистов по безопасности на этом этапе – максимально затруднить злоумышленникам выявление уязвимостей, через которые можно атаковать организацию. Что может в этом помочь?

- Межсетевые экраны (NGFW, WAF);

- Системы обнаружения, предотвращения атак (IDS/IPS);

- Сканеры безопасности (регулярные проверки в рамках процесса управления уязвимостями);

- Сбор и корреляция событий ИБ (SIEM);

- Анализ Darknet.

2. Противодействие на этапе проникновения. На этом этапе важно тесное взаимодействие всех компонентов системы защиты от APT-атак между собой. Нужно выстраивать взаимодействие с контрагентами, поставщиками и иными третьими сторонами. Какие средства подойдут?

- «Песочница» для почтового трафика;

- «Песочница» для Web-трафика и файловой передачи данных;

- Система антивирусной защиты;

- EDR (endpoint detection & response) на рабочих станциях;

Сбор и корреляция событий ИБ (SIEM).

3. Выявление на этапе закрепления в сети. Нужно помнить, что отсутствие свободного доступа в интернет с рабочих станций работников существенно усложняет процесс закрепления злоумышленника в сети. Что еще надо организовать?

- EDR на серверах и рабочих станциях;

- Системы выявления аномалий на уровне вычислительной сети;

- Контроль взаимодействия с управляющими серверами;

- Сегментация сети и отслеживание взаимодействия между различными сегментами;

- Системы класса Deception или Honeypot;

- Управление привилегированными учетными записями (PAM);

- Сбор и корреляция событий ИБ (SIEM).

4. Реагирование на завершающих стадиях атаки. До этого лучше, конечно, не доводить. При выявлении атаки на завершающих стадиях есть риски того, что атаку не удастся предотвратить. Процесс удаления вредоносного ПО и восстановления работоспособности ИТ-систем может занять существенное время. Но атаку можно все-таки обнаружить на этом этапе при помощи следующих действий.

- Защита основных «целей» в вашей организации с использованием сегментации, МСЭ, систем IDS/IPS, строгой двухфакторной аутентификации, ограничений по доступу только с конкретных защищенных рабочих станций и т.д.

- Максимальный аудит всех подозрительных действий и событий;

- Четкие инструкции по действиям при инцидентах ИБ;

- Внешние сервисы-«песочницы».

Повышение осведомленности работников в вопросах ИБ. Это также важный аспект информационной безопасности в организации. Сотрудники должны знать, что такое фишинг и вовремя выявлять его, правильно реагировать на подозрительные активности (звонки, контакты в соц. сетях, физический контакт незнакомых лиц, нахождение «утерянных» флешек и т.д.). Нужно прививать сотрудникам определенную культуру публикаций информации в социальных сетях, без лишних подробностей об организации. До работников надо донести классические требования ИБ при работе на офисных компьютерах и рассказать правила работы на «удаленке».

Правда, как отмечает Анатолий Скородумов, это относительно эффективно при обычных массовых атаках, но малоэффективно при целевых атаках. А вот создание Security Operations Center (SOC) может значительно повысить шансы организации на защиту от кибератак. SOC берет на себя такие задачи, как мониторинг событий ИБ, классификация, выявление и анализ инцидентов ИБ, реагирование на инциденты ИБ и расследование, сбор и обработка информации о новых угрозах (Threat Intelligence), ведение базы знаний SOC и другие функции.

Как подчеркивает Анатолий Скородумов, при серьезных кибератаках со значительным ущербом для организации проведение расследования целесообразно предоставить внешней квалифицированной компании. Она не только тщательно проанализиурет инцидент, но и подготовит пакет документов для подачи в правоохранительные органы.

Подробнее о том, как подготовиться к целевым атакам,  в презентации.

Читайте еще:


144
Поделиться
Предметная область
Отрасль
Управление