УправлениеБезопасность

Гуру как сервис

Ольга Мельник | 03.06.2020

Гуру как сервис

Заменить человека программой – в этом суть большинства ИТ-проектов. Однако чем опытней ИТ-специалист, тем больше он обычно уверен: без людей не обойтись, не стоит полностью доверять средствам автоматизации и контроля. Бывают случаи, когда надо проверить лично, что происходит, и на этом основании принимать решения. Разумеется, опыт позволяет четко отделять области, где хорошо налаженная автоматизация работает безупречно и параноидальные проверки ни к чему, и области, где нужна экспертиза гуру.

Ценность экспертного анализа

Особенно этот принцип близок специалистам по информационной безопасности: ведь их противники тоже люди, поэтому 100% предсказать или предотвратить их действия невозможно. Всегда остается фактор неопределенности. Защиту против угроз известных и изученных автоматизировать можно и нужно, и эта сфера постоянно расширяется. Однако в сложных, сомнительных, неоднозначных случаях не может быть лучшего способа, чем спросить спеца, которому доверяешь, чей кругозор и опыт больше твоего: «Посмотри, ну вот что это такое? Что это вообще может означать? Любое такое «странное» событие в корпоративной среде может повлечь катастрофические убытки. Более того, уметь выявить то, что «странно» на самом раннем этапе – уже ценный навык.

Эксперт, способный быстро разобраться в подозрительном случае, дорогого стоит, но держать его в штате под силу немногим организациям. Не только потому, что зарплата потребуется соответствующего уровня, но и потому, что таким гуру необходим постоянный поток сложных задач. Им нужен глобальный масштаб.

Чем занимаются исследовательские центры

У крупных вендоров решений для кибербезопасности есть собственные исследовательские центры, где постоянно ведется мониторинг и анализ сетевой активности, где выявляются угрозы, причем на самых ранних стадиях. Этап исследований предшествует созданию любых средств защиты. Системная работа по сложившейся методологии, высочайшая квалификация сотрудников и техническая возможность постоянного мониторинга дают результат.

Созданный в 2008 году «Лабораторией Касперского» глобальный центр исследования и анализа угроз (GReAT) постоянно раскрывает сложные целенаправленные атаки, включая очень крупные, мирового масштаба, в самых разных областях.

В марте 2020 года эксперты (GReAT) обнаружили целевую кампанию WildPressure по распространению троянца Milum. Он позволяет получить дистанционное управление устройствами в различных компаниях, в том числе промышленных. Большинство её жертв находится на Ближнем Востоке.

В 2019 году исследователями подразделения Kaspersky ICS CERT были обнаружены 103 новые уязвимости в области промышленной автоматизации. Число выявленных брешей увеличилось почти на 70% по сравнению с 2018 годом. Уязвимости были выявлены в наиболее часто используемом ПО систем автоматизации, промышленного контроля и интернета вещей (IoT). Бреши были зафиксированы в инструментах удалённого администрирования (34), SCADA (18), программном обеспечении для резервного копирования (10), а также продуктах интернета вещей, решениях для умных зданий, программируемых логических контроллерах и других промышленных компонентах.

Изощренное коварство сбора данных

Пример из совершенно другой области: PhantomLance. Эту угрозу, нацеленную на пользователей Android-устройств и активную как минимум уже пять лет, обнаружили специалисты «Лаборатории Касперского» в апреле текущего года. PhantomLance использует множество версий сложного шпионского ПО и тактик распространения, в том числе десятки приложений магазина Google Play.  Для придания приложениям легитимного вида злоумышленники создавали фейковый профиль разработчика на GitHub, а чтобы обойти фильтры, они сначала загружали в магазины версии приложения без вредоносного кода, а затем уже вносили необходимые им обновления.

Такие изощренные техники нацелены на сбор данных частных лиц, но не меньшую опасность хищения данных представляют и для корпоративного сектора. «Мы видим множество попыток украсть логины и пароли, используемые на рабочих устройствах, поэтому следует быть очень внимательными при проведении онлайн-платежей. Сейчас, когда многие компании перешли на удалённый формат работы, особенно важно помнить об этом», — считает Олег Купреев, антивирусный эксперт «Лаборатории Касперского».

По данным «Лаборатории Касперского», 45% атак банковского вредоносного ПО в 2019 году в России были нацелены на корпоративных пользователей.

По-прежнему популярны относительно простые, но крайне опасные для бизнеса виды атак, в том числе DDos интернет-магазинов, туристических сайтов и других продуктовых площадок. В случае такой атаки провайдер не ставит под удар других своих клиентов, он просто отключает атакуемый ресурс полностью. Тщательный анализ может прояснить, какими средствами и кем организована атака, и помочь перевести решение проблемы из чисто технической плоскости в другие области. Но для этого нужно прицельно отслеживать все, что происходит с определенным веб-ресурсом или ИТ-инфраструктурой в целом.

Привлечь экспертов «Лаборатории Касперского» для мониторинга и анализа атак на корпоративные ИТ-системы вполне возможно: такая услуга предоставляется как сервис.

Противодействие угрозам нон стоп

Kaspersky Managed Protection основан на анализе расширенной телеметрии от Kaspersky Endpoint Security для бизнеса и Kaspersky Anti Targeted Attack. Они играют роль сенсоров. Если эти продукты в компании уже используются, наладить передачу нужных данных несложно, никаких переустановок и реконфигураций не потребуется. Получаемая информация агрегируется с использованием Kaspersky Security Network и сопоставляется с данными об угрозах, накопленных «Лабораторией Касперского» за все время ее существования. Если угроза распознана – будут немедленно приняты меры, если возможно автоматического реагирования, если невозможно – заказчик будет проинформирован о происходящем и даны необходимые рекомендации. Методология «Лаборатории Касперского» позволяет выявлять вредоносное ПО без файлов (file-less) и атаки без вредоносного ПО (malware-less attacks).

Самое интересное начинается, если выявлена некая вызывающая подозрения активность, не похожая на известные угрозы. Тогда уже вступают в дело аналитики, и разворачивается расследование, включающее активный поиск угроз в случае скрытых целевых атак. Возможно, используются неизвестные ранее инструменты проведения атак, или задействованы уязвимости нулевого дня. Экспертная оценка позволяет не только распознать и нейтрализовать угрозу, но и собрать информацию о возможных мотивах и целях преступников.

Комплексный подход и оценка рисков

Таким образом реализуется комплексный подход к противодействию угрозам: предотвращение атак с помощью решений линейки Kaspersky Security для бизнеса, и «ручная работа» экспертов в случае необходимости.

Тактики, процедуры и техники киберпреступников тщательно протоколируются, примененные методы и средства описываются, компания-заказчик систематически получает отчеты о происходящем. Они включают и оценки потенциального ущерба, которые предотвращенные атаки могли бы причинить. На этой базе можно с большим успехом строить стратегию защиты, выбирать адекватные средства, достоверно оценивать соотношение рисков и стоимости средств безопасности.

 

Информационная безопасность

Горячие темы: Аксиомы кибербезопасности

Журнал: Журнал IT-Manager [№ 05/2020], Подписка на журналы

Kaspersky lab | Лаборатория Касперского


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Их важность «всплыла» именно во время первой волны пандемии, когда оказалось, что часть сотрудников должна получать удаленный доступ к достаточно критичным элементам инфраструктуры организации
К намекам Gartner о том, что пора бы AI перестать тратить и начать зарабатывать, добавляются требования суровой действительности о необходимости быстрой адаптации к изменениям и скорости принятия решений в условиях растущей конкуренции.
Так что же получается, умение через туман будущего увидеть сверкающий маяк желанной цели и показать его другим, чтобы зажечь их сердца и направить их в нужном направлении, – это и есть самый полезный навык, который неподвластен ни времени, ни новым технологиям?

Компании сообщают

Мероприятия