Тренды ИБ: Чем живет мир вредоноса? (продолжение)

Начало: Тренды ИБ: Чем живет мир вредоноса?

– Как строить современную киберзащиту? Достаточно ли поставить современное оборудование на периметр сети и как следует «закрутить гайки»?

– В компании Check Point мы реалистично смотрим на данный вопрос, мы не предлагаем какую-то «серебряную пулю», которая якобы способна предотвратить все атаки.

Мы рекомендуем комплексный подход практического предотвращения.

Необходимо проанализировать возможные векторы атаки (электронная почта, веб, съемные носители, удаленный доступ, VPN с партнерами, и др.), риски для различных объектов ИТ-инфраструктуры и пользователей (в том числе VIP и привилегированных) и применять несколько эшелонов киберзащиты, сочетая проверенные и продвинутые технологии.

Задача Департамента ИБ совместно с Департаментом ИТ в компании организовать инфраструктуру и политики доступа к приложениям и информационным системам таким образом, чтобы, с одной стороны, они не мешали пользователям выполнять их обязанности и не создавали лишние стимулы пытаться их обойти (вынужденные инсайдеры, теневое ИТ); с другой стороны, задать правила игры, удобные для инспекции и контроля системами ИБ и максимально осложняющие работу злоумышленника.

Межсетевые экраны следующего поколения (Next-Generation Firewall, NGFW), «песочницы» и продвинутые агенты защиты на рабочих станциях и серверах должны контролировать все каналы доставки нового потенциально опасного контента и каналы потенциальной кражи конфиденциальных данных.

Одни технологии (такие как контроль приложений и фильтрация файлов по формату) обеспечивают сокращение площади атаки. Другие технологии (система предотвращения вторжений, антивирус, антибот) блокируют уже известные угрозы. Они позволяют снизить нагрузку на такой дорогостоящий, но неотъемлемый компонент современной системы защиты как «песочница», которая автоматически выявляет новые вредоносы по поведению и позволяет их сразу блокировать (если конечно, это «правильная песочница»).

Если офицер ИБ вынужден сделать исключение в политике одного средства защиты (например, разрешить получение архивов, защищенных паролем или доступ к веб-ресурсу без инспекции SSL), то он должен предусмотреть компенсирующие меры, чтобы закрыть соответствующий риск (например, перехватывать атаку непосредственно на рабочей станции).

И, наконец, при планировании использования каждой новой технологии защиты необходимо стремиться включать ее в режим предотвращения. Ведь всегда лучше получать оповещения, что новая атака была заблокирована «на подлете», чем «тушить пожары».

Как я уже сказал выше, предотвратить все угрозы невозможно. Злоумышленник всегда может найти лазейку. Однако, можно предотвратить 99% атак и автоматизировать реакцию на оставшийся 1%, чтобы существенно сократить потенциальный ущерб.

В этом помогают решения класса Endpoint Detection and Response (EDR), такие как Sand Blast Agent, но только если они настроены автоматически остановить атаку, а не просто проактивно логировать все события и строить детальные отчеты.

– Вы рассказали о технических средствах защиты. А как же человеческий фактор?

– Безусловно, помимо обучения администраторов и проверки выполненных ими настроек средств защиты, необходимо уделять внимание обучению пользователей, поскольку их доверчивость является универсальной уязвимостью, которую постоянно эксплуатируют злоумышленники.

Есть различные варианты, например, периодическое обучение гигиене работы в Интернете (как распознать спам или фишинг).

Здесь помогает и настройка на средствах защиты некого мягкого режим: не просто «разрешить» или «заблокировать», а спросить у пользователя: «Зачем Вы пытаетесь посетить этот сайт или использовать это приложение?», «Зачем Вы хотите скопировать этот документ на флешку?». В ряде ситуаций не лишним будет попросить пользователя ввести обоснование. Таким образом, человек видит, что за ним следит «Большой Брат», он совершает меньше ошибок и в итоге постепенно повышается уровень информационной безопасности в компании.

– На какие еще векторы кибератак следует обратить внимание?

– Мы видим повсеместно, что многие организации становятся более динамичными в плане того как они ведут бизнес. Люди не просто сидят в офисе с 9 до 6 и с рабочих станций выполняют свои обязанности.

В интересах работодателя, чтобы его сотрудники работали не только на работе, но и по пути на работу, по пути с нее и даже в свое свободное. Благодаря технологиям удаленного доступа и доступа с мобильных устройств человек занимается своими личными делами и параллельно отвечает на рабочие звонки и письма.

В этой связи получается, что мобильные платформы Apple iOS и Google Android становятся теми же рабочими станциями, на которых ведется обработка конфиденциальных  данных  (рабочая переписка, документы, контакты, календари, звонки, гео-локация) и на которые также совершаются атаки.

Вспомните, как часто вы даете вашему ребенку играть в мобильные игрушки на вашем телефоне (на котором настроена корпоративная почта). А ведь любая бесплатная игрушка или условно полезное приложение может оказаться вредоносным. Буквально в мае исследователи Check Point Software Technologies обнаружили очередное вредоносное рекламное приложение Sim Bad, которое отображало рекламу в 209 популярных игрушках на Google Play и могло выполнить любой код на устройстве. Эти игрушки были установлены более 55 млн. раз. А ведь это всего лишь одно приложение из множества.

Не только вредоносные приложения несут риск (которые есть как на Android, так и на iOS), но это может быть и профиль настроек VPN или прокси, установленный по фишинговой ссылке, а далее – перехват трафика и слежка за действиями пользователем в Интернете.

Атаки становятся более доступными: можно на любом телефоне создать Wi-Fi точку, назвать ее Starbucks или McDonald’s, и пользователи захотят к вам подключиться и позволят вам просматривать их трафик. Более того, можно расшифровать SSL трафик и увидеть логины и пароли.

Таким образом, что подход комплексной защиты должен учитывать и защиту на уровне мобильных устройств. Она не может быть выполнена на каком-то периметре или только в корпоративном Wi-Fi, она должна применяться на самом устройстве и всегда быть с собой. Причем это решение должно быть частью общей экосистемы, чтобы помогать отражать много-векторные атаки на пользователя.