Киберпреступники сегодня постоянно работают над поиском новых способов поймать потенциальных жертв. От маскировки под законного пользователя в сети до использования новых и развивающихся методов обхода механизмов обнаружения — спектр сложных инструментов в арсеналах злоумышленников продолжает расширяться.
И время атак также имеет решающее значение. Опрос почти 1000 специалистов по безопасности показал, что 86% компаний, атакованных программами-вымогателями, были атакованы в праздничные дни или выходные, а три четверти жертв программ-вымогателей пострадали от атак во время крупных корпоративных мероприятий, таких как слияние, поглощение или IPO. Понятно, что группы вымогателей бастуют в нерабочее время и пытаются использовать защиту компании, которая, вероятно, либо ухудшена, либо полностью отключена.
Содержание
Злоумышленники проявляют терпение, чтобы увеличить свои шансы на успех.
Поскольку праздничные и выходные дни приводят к простою большинства работающего населения, это представляет собой серьезную проблему для большинства организаций. Хотя большинство организаций имеют круглосуточный центр управления безопасностью (SOC), мы знаем, что многие SOC сокращают штат в праздничные и выходные дни. – часто до 50%. Меньшинство вообще не укомплектовывает свои SOC в эти периоды, оставляя дверь широко открытой для злоумышленников. Оставляя свои SOC недоукомплектованными, компании повышают вероятность того, что злоумышленники смогут провести успешные кибератаки.
Для анализа доступно множество примеров. Например, разрушительная атака программы-вымогателя на Transport for London произошла в воскресенье. Тем временем в США в выходные, посвященные Дню матери, произошла атака программы-вымогателя Colonial Pipeline 2021 года. Получив доступ к корпоративной сети, банды программ-вымогателей начинают проявлять терпение и методичность в своих стратегиях атак. Они часто остаются скрытыми неделями, укрепляя свое положение и увеличивая свои привилегии в поисках важных данных и бизнес-приложений, которые они потенциально могут зашифровать в рамках заговора с целью шантажа.
Штат SOC не соответствует шаблонам атак
К сожалению, штатное расписание SOC часто не соответствует наблюдаемым нами моделям атак, и на это есть несколько причин. Баланс между работой и личной жизнью важен во многих организациях, и компании не считают необходимым полное укомплектование персоналом, поскольку большинство сотрудников работают в будние дни. Существует также распространенное заблуждение, что хакеры не нацелены на компании определенного размера или типа, и многие организации чувствуют себя в безопасности, потому что они никогда не подвергались нападениям. Кроме того, укомплектовать персонал SOC, работающий круглосуточно и без выходных, является серьезной проблемой. Для обеспечения круглосуточного покрытия может потребоваться как минимум 15–20 членов команды.
Это создает дорогостоящую дилемму. То, что начинается с простого обязательства по улучшению безопасности, может привести к огромным эксплуатационным расходам. Чтобы сократить эти затраты, многие компании предпочитают сокращать штат сотрудников или ограничивать часы работы, полагая, что угрозы менее вероятны в нерабочее время. К сожалению, это не так.
Подобно тому, как грабители в течение дня избегают хорошо охраняемых территорий, злоумышленники пытаются осуществить свои атаки, даже когда за ними меньше глаз. Если вы находитесь в безопасности в нерабочее время, это открывает возможности для атак злоумышленников. Вместо этого организации должны всегда предполагать, что атаки неизбежны, и следить за тем, чтобы их SOC никогда не получал недостаточного финансирования. Я называю это мышлением, воспринимаемым как нарушение. Никогда не развивайтесь, никогда не замедляйтесь, хакеры настойчивы и никогда не берут тайм-аут.
Повышенное внимание к безопасности личных данных
Речь идет не только о наличии необходимых ресурсов, но и об использовании этих ресурсов наиболее логичным и эффективным способом, уделяя особое внимание областям, которые подвергаются наибольшему риску или оказывают наибольшее потенциальное воздействие. Управление идентификацией должно быть здесь приоритетом. Сегодня система идентификации стала новым периметром безопасности предприятия: 90% всех атак программ-вымогателей приводят к компрометации системы идентификации.
Active Directory (AD), лежащая в основе управления идентификацией и доступом для подавляющего большинства организаций по всему миру, представляет собой особенно распространенную уязвимость, которой постоянно пользуются злоумышленники. Поскольку эта технология была впервые представлена в 1999 году, сегодня многие организации сталкиваются с необходимостью управлять устаревшими конфигурациями AD и чрезмерными привилегиями пользователей, которыми можно относительно легко воспользоваться. Кроме того, в AD часто не хватает достаточного аудита и проверок безопасности, и организациям может быть сложно достаточно быстро обнаружить необычную или вредоносную активность.
Злоумышленники знают эти проблемы лучше, чем кто-либо другой. Они знают, что если им удастся успешно скомпрометировать AD, они получат контроль над ключами от королевства организации, предоставляя им доступ к конфиденциальным данным и критически важным системам. Однако, к сожалению, эта область, как правило, недооценивается или игнорируется. Многие организации либо вообще не имеют плана восстановления личных данных, либо имеют тревожные пробелы в своих планах восстановления. Неспособность учитывать кибератаки, не проводить тестирование на уязвимости личных данных и тестировать планы восстановления только раз в квартал или реже — это распространенные ошибки, которые могут дорого стоить в случае атаки.
Каково решение?
Для организаций крайне важно устранить эти недостатки и гарантировать, что ключевые уязвимости, такие как AD, защищены, а безопасность не снижается в нерабочее время, поскольку злоумышленники пытаются максимально использовать неукомплектованные сотрудники SOC. Компании должны рассматривать безопасность как центральную часть своей стратегии устойчивости бизнеса. Подобно безопасности, финансовым и репутационным рискам, безопасность может определить, будет ли компания процветать или рухнет перед лицом катастрофического инцидента, меняющего правила игры.
Для этого компаниям необходимо предпринять несколько шагов:
- Иметь план: В случае катастрофы начинать с нуля — не лучший вариант. Заблаговременно готовясь к потенциальным сценариям и регулярно тестируя протоколы, компании могут реагировать быстрее и эффективнее, если такие ситуации станут реальностью.
- Используйте бюджеты разумно: Речь не обязательно идет о том, чтобы вложить в проблему больше денег. Речь идет о максимально эффективном использовании имеющихся бюджетов и обеспечении проверки и оптимизации существующих ресурсов.
- Принять ITDR: Для организаций, стремящихся использовать ограниченные ресурсы, обнаружение и реагирование на угрозы идентификационной информации (ITDR) может стать невероятно полезным инструментом, предоставляющим такие ключевые возможности, как автоматический аудит и оповещение, обнаружение шаблонов атак, а также откат или приостановка необычных изменений в AD.
- Повышение производительности за счет автоматизации: Эта автоматизированная поддержка также может помочь компаниям поддержать существующий квалифицированный персонал службы безопасности, освобождая инженеров, чтобы они могли сосредоточиться на более интересных и более важных задачах.
Предпринимая эти шаги для оптимизации производительности безопасности и использования автоматизации, организации могут одновременно устранить пробелы, которые в настоящее время существуют как в их персонале SOC, так и в возможностях обеспечения безопасности личных данных, что позволяет им лучше защищаться от атак, выявлять их и реагировать на них, чтобы реагировать и восстанавливаться после них. — независимо от того, во вторник вы бастуете или в воскресенье.
Мы составили список лучшего программного обеспечения для защиты конечных точек.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно принадлежат TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
