Рубрикатор |
Все новости | Новости отрасли |
Круговая оборона: реагируем на инциденты в области информационной безопасности
28 января 2015 |
Ежегодный отчет Cisco по информационной безопасности комментирует Стивен Рэнсом-Джонс (Steven Ransom-Jones), ведущий специалист по технологиям ИБ компании Neohapsis
В выпущенном на днях очередном ежегодном отчете Cisco по информационной безопасности упоминаются многие хитроумные методы маскировки, которые злоумышленники постоянно изобретают и оттачивают. Зачастую при этом используются уязвимости защитных программ. И все чаще проникнуть в информационные среды и незаметно заразить компьютеры нарушителям невольно помогают сами пользователи и ИТ-службы.
Учитывая столь сложный и динамичный ландшафт угроз, организациям необходим полноценный, гибкий процесс реагирования на инциденты. Приведу примеры (из упомянутого отчета Cisco по ИБ) того, как злоумышленники проникают в сети.
-
В 2014 г. объем спама вырос на 250 %. Активизировался трудно поддающийся обнаружению «спам на снегоступах», когда с огромного числа IP-адресов отправляются небольшие порции нежелательных сообщений. Кроме того, спам стал опаснее: он часто содержит фишинговые ссылки, а иногда и информацию личного характера, из-за чего даже опытные пользователи могут не заподозрить подвоха. Так, недавно исследователи Cisco наблюдали некоторое количество целевых фишинговых писем, которые имитировали корреспонденцию от одной крупной компании и содержали ссылку на известный фишинговый сайт.
-
Браузеры — еще одна лазейка для злоумышленников. Они распространяют вредоносный код и нежелательные сообщения через расширения для браузеров. Дело в том, что многие пользователи считают любые расширения безопасными или безобидными. Многие пользователи редко обновляют браузеры — например, только 10 % запросов от Internet Explorer приходятся на новейшую версию. Отчасти по этой причине недавно в США регуляторы ужесточили стандарты для систем онлайн-банкинга, потребовав использовать методы обнаружения аномальных транзакций. Многие пользователи почувствовали это на себе, т.к. каждую финансовую операцию теперь нужно подтверждать несколько раз.
-
Наконец, мы все сталкиваемся с дефицитом кадров в области ИБ. По некоторым оценкам, сейчас в мире есть потребность более чем в миллионе таких профессионалов. Отделы ИБ перегружены, организациям непросто найти и удержать в штате специалистов по информационной безопасности. Несмотря на все усилия, недоукомплектованные службы ИБ часто не справляются с потоком уведомлений систем безопасности, нормативных требований и служебных задач. Согласно исследованию под названием Security Capabilities Benchmark, результаты которого были включены в последний отчет Cisco по информационной безопасности, руководители служб и центров ИБ уверены в своих защитных механизмах. В то же время этим службам не всегда удается найти ресурсы, чтобы развернуть важные системы защиты и справляться с нарушениями ИБ. Менее 50 % опрошенных реализовали процессы, позволяющие успешно:
-
администрировать аутентификационные данные или управлять учетными записями;
-
обновлять и настраивать ПО;
-
тестировать на проникновение;
-
проводить компьютерную экспертизу конечных точек сети;
-
сканировать уязвимости.
-
И это — только несколько примеров, показывающих, что бороться со злоумышленниками стало сложнее, чем раньше, и что каждой организации необходим адекватный механизм реагирования на все более мощные атаки.
Даже те организации, у которых реализованы современные системы защиты, начинают задаваться вопросом: «Что делать, когда атака или компрометация данных произойдет?», а не «...если она произойдет...». Атаки становятся все разнообразнее, а некоторые могут даже видоизменяться «на лету» (как это произошло с DDOS-атаками против некоторых банков). Именно поэтому, чтобы обнаруживать инциденты и реагировать на них, нужно быть изобретательнее и гибче. По данным Cisco, в 75 % случаев от начала атаки до утечки данных проходят считанные минуты, а вот на обнаружение атаки уходит гораздо больше времени. Другие исследования и недавние крупные инциденты в области ИБ подтверждают эти выводы.
Все указывает на то, что для реагирования на инцидент в условиях дефицита кадров организациям нужны квалифицированные ресурсы извне.
Разрабатывая процедуры реагирования, организации должны опираться на передовой опыт в следующих вопросах:
-
На каком уровне нужно реагировать?
-
Достаточна ли квалификация собственных и сторонних специалистов, чтобы грамотно организовать реагирование?
-
Каких результатов нужно добиться в итоге?
-
Если атака видоизменяется, как перестроить тактику реагирования?
-
Как распространяется угроза? Какие уязвимости использует?
-
Какие системы скомпрометированы?
-
Какими данными уже завладели злоумышленники? Как можно остановить атаку?
-
Как предотвратить эту атаку в будущем и научиться предупреждать другие?
Чтобы ответить на эти вопросы, организациям в первую очередь необходимо оценить готовность персонала и инфраструктуры, в том числе сети, операций ИБ, коммуникаций и процессов обучения сотрудников для реагирования на инциденты. Лучше не пытаться заранее составить список решений всевозможных проблем, а вооружить группу реагирования на инциденты знаниями и инструментами, которые помогут:
-
понимать природу события или инцидента;
-
оценивать его значимость и необходимость срочных мер;
-
определять желательные или допустимые сценарии;
-
принимать необходимые меры, чтобы достичь поставленных задач;
-
оценивать результаты реагирования и при необходимости корректировать его;
-
эффективно задействовать внутренние и внешние ресурсы.
Атаки становятся сложнее, злоумышленники — коварнее, а последствия — масштабнее. Чтобы оперативно управлять операционными рисками, организациям нужны полноценные, комплексные и гибкие процессы реагирования на инциденты. Систем безопасности самих по себе недостаточно. Грамотные процессы, реальное сотрудничество всех заинтересованных лиц, хорошо обученный и мобилизованный персонал — вот что нужно организациям, чтобы успешно реализовать многоуровневую защиту, приспосабливаться к видоизменяющимся атакам и добиваться лучших результатов.
Читайте также:
Только 14% вендоров оперативно исправляют уязвимости, найденные исследователями безопасности
Хакеры могут атаковать разработчиков ПО, захватывая сторонние репозитории
Сбер представил интеллектуальную платформу управления уязвимостями
Число успешных кибератак на финансовые организации выросло вдвое
СВД ВС и АМТ-ГРУП подписали заявление о совместимости решений для защиты КИИ и АСУ ТП
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.