Быстрый старт с самого начала — огромное преимущество для спринтеров, пловцов, жокеев и гонщиков. Это также чрезвычайно ценно для киберпреступников. Эксплуатируя уязвимость нулевого дня до того, как о ней узнает кто-либо еще, киберпреступники получают раннее окно для проникновения в системы и достижения таких целей, как кража данных или развертывание программ-вымогателей, оставаясь незамеченными.
Атаки, использующие уязвимости нулевого дня, невозможно предотвратить, но им можно уверенно противостоять. В этой статье представлены практические рекомендации о том, как смягчить эти угрозы путем создания надежной ИТ-инфраструктуры, которая обеспечивает сокращение поверхности атак, быстрое обнаружение и эффективное реагирование.
Постоянный директор по информационной безопасности в регионе EMEA и вице-президент по исследованиям безопасности в Netwrix.
Содержание
Разочарование от уязвимостей нулевого дня
Неизбежным фактом является то, что каждая операционная система и программное приложение имеют уязвимости, о которых еще не известно производителю или организациям, использующим продукт. Еще одним прискорбным фактом является то, что киберпреступники постоянно ищут эти уязвимости, и когда они их находят, они усердно работают, чтобы найти способ их эксплуатировать.
Организациям приходится осознавать тот факт, что злоумышленникам иногда удается разработать эффективную атаку нулевого дня, и они мало что могут сделать, чтобы предотвратить первоначальную атаку. Вместо этого они должны сосредоточиться на предотвращении эскалации угрозы и предотвращении получения злоумышленниками доступа к ценным данным или получения контроля над всей системой.
По сути, эксплуатация уязвимости нулевого дня — это лишь первый этап длительной битвы за контроль над вашими ценными цифровыми активами. Чтобы выиграть эту битву, команды безопасности должны активно снижать риск атак, быть в курсе уязвимостей, владеть навыками обнаружения угроз и реагирования на них, а также обеспечивать быстрое восстановление операций после инцидента.
Уменьшение поверхности атаки
Первым приоритетом в снижении риска уязвимостей нулевого дня является минимизация поверхности атаки. Ключевые стратегии, которые помогут в этом, включают отключение ненужных служб, внедрение надежного процесса управления исправлениями и разделение вашей сети на различные сегменты для изоляции критически важных систем и конфиденциальных данных.
Еще одна важная передовая практика — настроить строгий контроль доступа, соответствующий принципу минимальных привилегий. Даже если злоумышленник проникнет в систему, его горизонтальное перемещение будет ограничено, поскольку каждая учетная запись имеет только те права доступа, которые необходимы пользователю для выполнения своих задач.
Для еще более надежного подхода учетные записи с высокими привилегиями можно заменить расширенными привилегиями Just-in-Time (JiT), которые предоставляются только после дополнительной проверки и действительны только до тех пор, пока это необходимо для выполнения поставленной задачи. Такой подход еще больше ограничивает возможности злоумышленника по повышению привилегий.
Обнаружение и устранение уязвимостей
Что делает уязвимость уязвимостью нулевого дня, так это тот факт, что злоумышленники обнаруживают ее и используют для атак до того, как о ней узнает кто-либо еще. Поставщики программного обеспечения обычно быстро развертывают исправления безопасности или стратегии снижения рисков. К сожалению, многие организации не могут своевременно реализовать рекомендуемые меры, в результате чего они остаются уязвимыми для уязвимости гораздо дольше, чем это необходимо.
Соответственно, надежная стратегия управления исправлениями является еще одним важным элементом уменьшения поверхности атаки. Эта стратегия должна включать сканирование систем на наличие неисправленных уязвимостей, чтобы их можно было немедленно устранить. Одним из вариантов является традиционный инструмент управления исправлениями, который периодически сканирует системы. Однако, поскольку количество используемых программных продуктов увеличилось, этот процесс теперь занимает больше времени, чем когда-либо прежде. Современные решения используют процесс обнаружения, называемый сканированием без сканирования, который в режиме реального времени ведет инвентаризацию программного обеспечения, установленного в системе, и отмечает любые возникающие уязвимости.
Обнаружение угроз на ранней стадии
Злоумышленники не раскрывают, когда и где они будут атаковать, но целые веб-сайты посвящены описанию используемых ими тактик и техник. Решения по обнаружению и реагированию на угрозы идентичности (ITDR) используют эти знания, уделяя особое внимание обнаружению угроз, связанных с системами контроля идентификации и доступа. Признаками этих угроз являются необычные попытки входа в систему, подозрительные запросы на доступ и незапланированные изменения разрешений. Обнаружение угрозы может вызвать автоматические реакции, такие как: Б. блокировка доступа и сброс учетных данных.
Организациям также необходима система обнаружения и реагирования на конечные точки (EDR). EDR дополняет ITDR, отслеживая конечные точки на предмет потенциально вредоносной активности и обеспечивая быстрое реагирование на эти угрозы.
Конечно, если эти решения помечают слишком много событий как подозрительные, команды безопасности будут перегружены ложными срабатываниями. Соответственно, мониторинг целостности файлов (FIM) также имеет решающее значение, поскольку он может отфильтровать запланированные системные изменения и позволить ИТ-командам сосредоточиться на быстром реагировании на реальные угрозы.
Обеспечение скорейшего выздоровления
Организации также должны быть готовы к атакам, которые приводят к повреждению критически важных систем и уничтожению или шифрованию ценных данных. Чтобы свести к минимуму сбои в бизнес-операциях после инцидента, им необходима документированная стратегия восстановления данных и процессов как можно быстрее.
Надежный план восстановления начинается с резервного копирования критически важных данных и систем, тщательного тестирования этих резервных копий и их безопасного хранения. Когда злоумышленники вносят вредоносные изменения, ИТ-команды должны иметь возможность идентифицировать конкретные затронутые активы и отменить изменения на детальном уровне. В случае серьезной катастрофы ИТ-специалистам необходимо иметь возможность быстро восстановить критически важные контроллеры домена, приложения и данные, чтобы сократить время простоев и потери бизнеса.
Диплом
Хотя невозможно предотвратить обнаружение и использование киберпреступниками уязвимостей нулевого дня, организации могут и должны предпринять шаги для снижения воздействия этих атак. Внедряя описанные выше методы, организации могут разработать многоуровневую стратегию безопасности, которая повысит их устойчивость не только к эксплойтам нулевого дня, но и к другим типам кибератак и инсайдерским угрозам.
Мы оценили лучшее программное обеспечение для управления идентификацией.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы демонстрируем лучшие и самые яркие умы в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно принадлежат TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
