Технологии

Почему детектирование киберугроз больше не спасает организации?

Организации в Казахстане подвергаются киберугрозам гораздо чаще, чем в остальных странах.
В сегодняшних реалиях киберугрозы особенно динамично развиваются, постоянно усложняются, и старые средства защиты становятся неэффективны. Вопрос безопасности корпоративных данных встает как никогда остро: теперь компаниям приходится прилагать дополнительные усилия, чтобы защищать свой периметр и конечных пользователей. Как развивались кибератаки, и что сегодня требуется от организаций для защиты конфиденциальных данных?
Александр Савушкин
директор по развитию бизнеса компании Check Point Software Technologies в странах СНГ, Украине и Грузии рассказал об этом в данном материале.
История развития киберугроз и методов борьбы с ними

Впервые киберугрозы стали возникать еще 30-40 лет назад и были связаны с ростом массового интереса к компьютерам. В то время вредоносные программы записывались на дискеты и распространялись через копирование. К сожалению, коммерческое антивирусное ПО тогда не существовало, и последствия некоторых атак оказались достаточно серьезными. Так, в 1986 году Brain virus в той или иной мере затронул многие организации и пользователей ПК, но в то же время, эти события спровоцировали создание первых антивирусов.

Спустя 10 лет с ростом популярности интернета вредоносное ПО стало еще более активно развиваться, и появилось второе поколение атак. Особенно масштабная состоялась в 1994 году и преследовала цель похищения $10 млн из банка Citibank. Именно после нее специалисты по кибербезопасности разработали первые межсетевые экраны.

Двухтысячные принесли с собой атаки третьего поколения, которые стали активно эксплуатировать уязвимости разных компонентов инфраструктуры: от ОС до приложений. Угрозы постоянно трансформировались и совершенствовались, но переломный момент наступил примерно в 2010-е годы, во времена угроз четвертого поколения. Именно тогда были созданы новые атаки нулевого дня, и хакеры стали распространять письма с вредоносным вложением, против которых обычные антивирусы были бессильны. К сожалению, решения безопасности в тот момент создавались только после анализа и исследования уже осуществленной атаки, затем выходило обновление, которое хоть и решало проблему, но на это порой уходили недели и месяцы. К тому моменту хакеры создавали новые атаки, от которых патчи уже не защищали. Чтобы решить эти задачи, были придуманы песочницы – специальные изолированные среды для безопасной работы программ.

Осложняло ситуацию еще и то, что новые решения безопасности еще не были способны проверять содержимое вложений, которые пользователи получали на свои имейлы. Соответственно, все вложения могли оказаться вредоносными, а в СМИ все чаще стали появляться сообщения о масштабных атаках.
Современные угрозы и неэффективность подхода, основанного на детектировании кибератак

Современные угрозы – мы говорим уже о 5 и 6 поколений – стали еще более продвинутыми, многоступенчатыми и длительными. Теперь они способны атаковать разные виды устройств, задействовать несколько векторов атак одновременно и распространяться с огромной скоростью. Кроме того, они провоцируют масштабные финансовые убытки, например, с помощью программы-вымогателя NotPetya злоумышленникам удалось украсть 300 миллионов долларов. А другой вымогатель WannaCry отличился особым масштабом своей деятельности и атаковал 300 тысяч ПК в 150 странах.

К сожалению, большинство организаций используют не совсем актуальную защиту – кто-то не знает, что она устарела, недооценивает существующие угрозы или считает, что их они не коснутся. 2020 год показал обратное: атаки участились не только на компьютеры, но и на мобильные устройства – как личные, так и корпоративные. По данным Check Point Software Technologies в прошедшем году 97% организаций по всему миру столкнулись с мобильными угрозами, которые использовали сразу несколько векторов атак, а в 46% компаний хотя бы один сотрудник загрузил вредоносное мобильное приложение.

Почему подход, основанный на детектировании кибератак, больше неэффективен? До пандемии многие считали, что обнаружить атаку – значит успешно с ней справиться. На деле оказалось, что это не так. Напротив, это означало, что компания не успела защитить свой периметр. Важно не допускать попадание угрозы в сеть, т.к. некоторые из них могут «жить»‎ внутри организации месяцами и оставаться незамеченными, и к тому моменту, когда специалисты обнаружат атаку, она уже может нанести непоправимый ущерб. Поэтому важно использовать не только традиционные решения для обнаружения атак, но и отдавать предпочтение продуктам, которые занимаются мониторингом внутри сети, чтобы вовремя отслеживать любую подозрительную активность.
Киберугрозы в Казахстане за последние 6 месяцев

В целом, организации в Казахстане подвергаются угрозам гораздо чаще, чем в остальных странах. Например, ботнеты еженедельно атакуют около 9,7% организаций в мире, и в два раза больше в Казахстане – около 19,6%. Тоже самое касается и атак банковских троянов и криптомайнеров, им еженедельно подвергаются по 8,7% компаний в Казахстане, когда в среднем по миру это число составляет 3-4%.

Самым опасным ПО в последние месяцы в Казахстане стал Lokibot, который затронул около 20% организаций в стране, а сами вредоносы в большинстве (68%) случаев были получены через электронную почту в .xlsx файлах (72,7% всех вредоносных вложений).

Если говорить об общем числе атак, то за последние 6 месяцев средняя компания в Казахстане подвергалась атакам 2010 раз в неделю, что в три раза чаще по сравнению с 668 атаками на организацию во всем мире. Все это говорит о том, что при современных угрозах защита местных организаций все еще остается на уровне десятилетней давности. Сейчас как никогда компаниям стоит сконцентрировать свое внимание на превентивных мерах обеспечения кибербезопасности, а также особое внимание уделять образованию своих сотрудников, чтобы они самостоятельно могли вычислять фишинговые письма и другие методы социальной инженерии.
Что такое угрозы нулевого дня, и какие есть преимущества у стратегии безопасности нулевого доверия?

Угрозы zero day, или угрозы нулевого дня содержат каждый раз новое, ранее неизвестное, вредоносное ПО, что делает сигнатурные средства защиты неэффективными. От угроз нулевого дня хорошо защищают песочницы и динамический анализ, а также стратегия Zero Trust.

Концепция безопасности нулевого доверия (Zero Trust) появилась в 2010 году и с тех пор широко применяется тысячами компаний по всему миру. Ее суть заключается в том, что организациям не стоит по умолчанию доверять ни одному устройству, пользователю, системе или рабочей нагрузке. Вместо этого каждое действие внутри и вне перимента проверяется и только после этого получает разрешение на активность.

Реализуется эта концепция с помощью нескольких инструментов: шифрования, аналитики, управления учетными данными и другими. На первый взгляд может показаться, что это очень сложная система, но ее вполне легко можно адаптировать под любую организацию. Работа начинается с определения периметра защиты: в него входят наиболее важные активы, данные, сервисы и приложения сети. После этого мы изучаем, как трафик перемещается по компании и, вооружившись этой информацией, устанавливаем межсетевой экран нового поколения. Он защищает от внешних угроз, позволяет сфокусировать внимание на трафике внутри периметра, а также разработать более сложные и актуальные политики безопасности.

Той самой безопасной средой для работы, которая не позволяет открывать непроверенные файлы, как раз и являются песочницы. Для удобства и скорости работы рекомендую выбирать песочницы с функцией мгновенной конвертации документов – они сразу создают гарантированно безопасную копию любого файла и только после этого начинают проверку оригинала.

Какие современные технологии способны предотвратить угрозы до их возникновения?

Еще 40-30 лет назад злоумышленники проникали внутрь компаний «физическими» способами – через дискеты и другие носители. Сегодня почти у всех организаций есть межсетевые экраны, и старые атаки им уже не угрожают. А вот от атак последних поколений – многоступенчатых и учитывающих человеческий фактор – традиционные средства защиты малоэффективны. Очень важно использовать самые последние решения по безопасности и ориентироваться на комплексный подход, который позволяет закрыть все возможные векторы атак. Желательно, чтобы такие системы имели возможность быстро адаптироваться к изменениям в компании, а ИТ-специалистам важно научиться оперативно внедрять новые технологии и своевременно ставить актуальные патчи.
Оцените наш материал
Поделитесь с друзьями
Читайте также:
Made on
Tilda