Как обеспечить безопасность конечных устройств
Защита ноутбуков сотрудников критически важна, однако безопасность конечных устройств развивается не так быстро, как продвинутые таргетированные угрозы.
Проблема современных компьютеров заключается в том, что они становятся мобильными. Слишком часто ноутбуки оказываются за пределами защищенной инфраструктуры компании и подвергаются риску заражения вредоносным ПО через опасный веб-контент или внешние накопители. Масштабы таких рисков были описаны в Check Point Security Report 2015: исследование выявило, что 25% всех корпоративных конечных устройств не имеют актуальных антивирусных сигнатур; на 25% устройств не установлены последние обновления ПО и не исправлены уязвимости; на 20% персональных компьютеров нет локального брандмауэра.
Неудивительно, что хакеры сегодня все чаще атакуют именно пользовательские устройства, стремясь воспользоваться их беззащитностью перед продвинутыми угрозами. Это могут быть программы-вымогатели Cryptowall и Cryptolocker, шифрующие файлы и требующие выкуп за разблокировку, либо другие скрытые агенты, которые пытаются заразить ноутбук, а через него — корпоративную сеть. Тот факт, что ноутбук легко взломать, а затем с его помощью отправить вирус прямо в «сердце» ИТ-инфраструктуры компании, говорит о необходимости многоуровневого подхода к безопасности.
Во-первых, защита конечных устройств должна выйти за рамки традиционных сигнатурных антивирусов, которые обеспечивают безопасность только от известных угроз. Во-вторых, организациям необходимы улучшенные средства обнаружения угроз и реагирования на новые атаки, чтобы быстро определять источник и масштаб нападения, находить оптимальный способ его остановки. Давайте по очереди рассмотрим каждый из этапов организации защиты.
В момент атаки
Большая часть конечных устройств уязвима, потому что на них установлены только базовые средства защиты от угроз. Однако хакеры с помощью некоторых инструментов могут легко вносить изменения в уже существующий вредоносный код, которые сделают этот код невидимым для традиционных сигнатурных антивирусов. Также есть риск, что злоумышленники будут использовать продвинутые целевые атаки против выбранной организации.
Технология безопасности, которая все чаще применяется против вредоносного ПО такого типа — это эмуляция угроз или «песочница». Она перехватывает подозрительные файлы в момент поступления и анализирует их содержимое в виртуализованной карантинной среде — «песочнице». Если файл ведет себя подозрительно, он блокируется. «Песочница» в несколько раз повышает процент обнаружения вредоносного ПО и усиливает безопасность, но при этом задействует для обработки данных значительные ресурсы процессора, что может негативно отразиться на производительности обычного ноутбука.
Умные «песочницы»
Нам необходимо средство для безопасного изучения и блокировки любых вредоносных файлов и данных, поступающих на конечные устройства, которое не будет затруднять работу пользователя. Зараженным может быть любое вложение в электронном письме и любой загруженный файл, и если мы сможем устранить все потенциальные угрозы до того, как файл будет передан пользователю, это позволит нам обезвредить многие типичные каналы передачи инфекций. Этот способ называется «извлечение угроз»: документ реконструируется с использованием только безопасных элементов, а все подозрительные элементы содержания (макросы, встроенные объекты и файлы, внешние ссылки) удаляются из него. «Чистая» копия документа будет доступна пользователю через несколько секунд, поэтому обработка не отразится на работе компьютера.
Затем оригинальный документ отправляется в «песочницу», запущенную в публичном или частном облаке, где он будет детально проверен на наличие угроз и заблокирован в случае обнаружения подозрительного поведения. Если в документе нет вирусов, пользователь может его свободно скачать. Этот подход минимизирует расходы ресурсов процессора на компьютере, позволяя пользователям работать без сбоев и чувствовать себя в безопасности.
Последствия атаки
Поскольку у компаний есть множество потенциально уязвимых точек, которые могут подвергнуться нападению, даже в тех случаях, когда атака была обнаружена и остановлена, ИТ-командам критически необходимо понять, какой вредоносный код использовался и какой ущерб он нанес, чтобы как можно быстрее ликвидировать последствия. Однако сложная экосистема конечных устройств внутри компании часто затрудняет анализ событий безопасности. Зачастую сложно бывает даже точно определить место возникновения инцидента — не то что построить полную карту жизненного цикла атаки, включающую сведения об ущербе.
Чтобы помочь в анализе таких инцидентов, решение по защите конечных устройств должно в первую очередь постоянно собирать аналитические данные об атаках, которые позволят выявить источник нападения. Из-за быстрого роста событий безопасности, с которым сталкивается каждая организация, современные ручные способы анализа — проверка логов для определения точек входа, методов атаки и масштабов поражения — слишком трудоемки, чтобы использовать их для каждого случая. Чтобы помочь службе безопасности увидеть полный жизненный цикл каждой атаки, механизм автоматического анализа использует собранные данные для создания отчетов об инцидентах безопасности. Это позволяет ускорить процесс восстановления любых систем, поврежденных в ходе атаки.
Таким образом, необходимо комбинировать средства предотвращения угроз, защищающие конечные устройства от новых таргетированных атак, с инструментами сбора и анализа данных об атаках. Благодаря объединению этих функций, организации смогут защитить как пользовательские системы, так и свои ключевые сети, не затрудняя при этом работу бизнеса.
Опубликовано 04.03.2016