Отчет Intel Security раскрывает проблемы реагирования на целевые атаки

Отчет Intel Security раскрывает проблемы реагирования на целевые атаки

Отчет Intel Security раскрывает проблемы реагирования на целевые атаки

Новый отчет Tackling Attack Detection and Incident Response («Как решить проблемы детектирования атак и реагирования на инциденты»), подготовленный Enterprise Strategy Group (ESG) по заказу компании Intel Security, исследует ИБ-стратегии различных организаций; технологические особенности кибератак; проблемы, связанные с поздним реагированием на инциденты; и необходимые меры, которые компании обязаны предпринять с учетом этих реалий.

Исследование показало, что ИБ-сотрудники буквально завалены инцидентами: в прошлом году среднее количество расследований инцидентов составило 78 на компанию, притом 28% от общего числа инцидентов составили целевые атаки – один из самых опасных и потенциально вредоносных видов кибератак. Согласно опросу представителей ИТ- и ИБ-отрасли, основными методами повышения эффективности работы ИБ-персонала являются более совершенные инструменты детектирования и анализа угроз, а также более глубокое изучение природы инцидентов для определения наиболее оптимальной стратегии отражения атаки. 

«Если говорить о детектировании инцидентов и реагировании на них, основным фактором, влияющим на масштаб нанесенного организации урона, является время, - утверждает Джон Ольтсик (Jon Oltsik), старший аналитик в ESG. – Чем больше времени требуется учреждению на отслеживание, расследование и реагирование в случае кибератаки, тем выше вероятность того, что предпринятых мер будет недостаточно для предотвращения утечек конфиденциальной информации, а это, в свою очередь, может стоить организации очень больших денег. Основываясь на этом выводе, директорам по информационной безопасности нужно осознать: сбор и обработка информации об атаке – это шаг к тому, чтобы повысить эффективность детектирования угроз и реагирования на них». 

Более тесная интеграция

Почти 80% опрошенных уверены, что низкая степень интеграции и недостаточная коммуникация между элементами системы безопасности вызывает эффект «бутылочного горлышка» и мешает средствам обеспечения безопасности своевременно распознавать угрозы и реагировать на них. Максимальная прозрачность работы ИБ-систем в реальном времени очень важна для своевременного реагирования на целевые атаки; в этой связи 37% респондентов подчеркнули, что необходимо обеспечивать более тесную интеграцию между системами анализа угроз и ИТ-системами. Кроме того, наиболее затратные с точки зрения времени задачи – определение площади атаки и принятие мер для минимизации ее последствий – можно было бы выполнять более оперативно при условии более тесной интеграции инструментов защиты. Таким образом, в похожих на лоскутное одеяло архитектурах, состоящих из десятков ИБ-продуктов, образуются разрозненные инструменты, консоли, процессы и отчетности, работа с которыми по отдельности занимает очень много времени. Такие архитектуры провоцируют лавинообразный рост данных, генерируемых в прогрессии во время атак, что, в конечном итоге, не позволяет вовремя заметить срабатывание важных индикаторов. 

Прозрачность процессов

ИБ-эксперты, которых опросили в ходе подготовки отчета, утверждают, что способность видеть состояние систем защиты в реальном времени страдает от недостаточного понимания паттернов поведения пользователей, сети, приложений и хостов. Четыре самых часто встречающихся типа собираемых системами безопасности данных связаны с поведением сети, а 30% систем собирают данные об активности пользователей – очевидно, что нельзя ограничиться просто сбором данных. Пользователям требуется помощь для контекстуализации данных и дальнейшего понимания, в каком случае поведение пользователя можно признать подозрительным. Этот разрыв может объяснить, почему почти половина организаций (47%) признала, что определение масштаба или потенциального вреда атаки потребовало так много времени. 

Улучшенные средства аналитики

Пользователи понимают, что нужно перестать концентрироваться на сборе огромных объемов информации о событиях и угрозах, чтобы выделить время для использования этих данных с целью детектирования и анализа инцидентов. 58% респондентов утверждают, что им необходимы более совершенные инструменты детектирования (инструменты статического и динамического анализа, интегрированные с информацией об известных угрозах, хранящейся в облаке, для анализа файлов  на предмет наличия угроз). 53% опрошенных считают, что им нужны более совершенные инструменты аналитики, чтобы превращать данные об угрозах в информацию, необходимую для совершения действий. Треть опрошенных (33%) нуждаются в решениях, позволяющих корректно задать «нормальный» уровень функционирования ИБ-систем, чтобы быстрее распознавать отклонения. 

Наработка опыта

Опрошенные специалисты признали недостаток осведомленности о ландшафте угроз информационной безопасности и низкий уровень навыков в области расследования инцидентов, отметив при этом, что даже более высокий уровень интеграции элементов ИБ-систем или улучшенные средства аналитики не помогут, если ИБ-специалисты не смогут правильно интерпретировать полученную информацию. Например, только 45% участников опроса  считают, что обладают достаточными знаниями в области техник обфускации вредоносного ПО, а 40% признают потребность в повышении своих навыков и осведомленности в области кибербезопасности.  

Автоматизация для активных действий

Растущее количество расследований инцидентов и ограниченные ресурсы и навыки побуждают респондентов повысить эффективность детектирования угроза и реагирования на инциденты. 42% опрошенных отметили, что принятие мер по минимизации последствий атаки – это самая затратная с точки зрения времени задача. 27% хотели бы в больше степени автоматизировать аналитику угроз на базе полученных от ИБ-систем данных, чтобы сделать возможным реагирование в реальном времени. 15% хотели бы использовать средства автоматизации, чтобы высвободить больше времени ИБ-сотрудников для более важных дел. 

«Аналогично тому, как в области медицины критически важно доставить пациента с сердечным приступом в больницу в течение максимально короткого времени, чтобы повысить шансы на удачный исход, так и ИБ-специалистам важно сократить время, требуемое на обнаружение и отражение атаки, чтобы максимально снизить урон, - подчеркивает Крис Янг (Chris Young), генеральный менеджер Intel Security. – Чтобы  добиться этого, нужно найти ответа на сложные вопросы, чтобы понять, где мы недорабатываем, и переосмыслить принципы, на которых мы строим защиту систем». 

По мнению ESG, исследование позволяет выделить рекомендации, позволяющие сократить время выявления атаки и принять своевременные меры для нивелирования возможного ущерба: 

  • Создать архитектуру ИБ, отличающуюся высокой степенью интеграции: Отдельные ИБ-решения стоит интегрировать в единую ИБ-архитектуру. Такая стратегия позволяет иметь общую картину об атаке, основываясь на сведениях, полученных с различных ИБ-устройств, а также увидеть проявления угрозы на различных уровнях в рамках корпоративной инфраструктуры: на уровне поведения пользователя, оконечной точки и сети. Необходимо достичь более высокой степени координации и релевантности реагирования. 
  • Основывать работу стратегии кибербезопасности на мощной аналитике, делая упор на качество, а не на количество информации: Стратегии кибербезопасности нужно базировать на мощных средствах аналитики. Это значит сбор, обработку и анализ обширной внутренней (журналы действий (логи), потоки данных, пакеты, проверка оконечной точки, статический и динамический анализ зловредов, паттерны поведения пользователя или приложения) и внешней (анализ угроз, уведомления о уязвимостях) информации. 
  • Максимально автоматизировать процессы детектирования инцидентов и реагирования на них: Так как организациям придется постоянно противодействовать усложняющимся с каждым днем атакам, ИБ-руководители должны опираться на автоматизированные средства защиты: передовые средства анализа вредоносного ПО, интеллектуальные алгоритмы, машинное обучение, а также сравнение паттернов в нормальном поведении корпоративных систем с тактиками, техниками и процедурами, используемыми киберпреступниками в ходе атак. 
  • Постоянно усваивать новую информацию об угрозах: ИБ-руководители должны организовывать регулярные тренинги для сотрудников ИБ-отделов с целью повышения уровня осведомленности о природе угроз и наработанных практиках для эффективного отражения угроз. 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Solar 4RAYS подготовили рекомендации на каникулы

Эксперты центра Solar 4RAYS подготовили рекомендации для киберзащитников компаний, которые помогут наладить инфраструктуру так, чтобы можно было беззаботно встретить новый год.

Как напоминают эксперты, новогодние праздники редко обходятся без инцидентов. Злоумышленники пользуются тем, что ИБ-подразделения уходят на каникулы или переходят на удаленный режим работы.

В результате ИБ-специалисты не всегда могут оперативно распознать признаки инцидента и вовремя отреагировать на него, а злоумышленники почти беспрепятственно проникают в инфраструктуры компаний.

Начать эксперты Solar 4RAYS рекомендуют с инвентаризации. Необходимо убедиться, что известны все сегменты сети и активы, которые там находятся. Очень часто злоумышленники атакуют через уязвимые узлы, которые не контролируют ИТ и ИБ-службы, и их обслуживанием занимаются какие-то другие подразделения.

Полезно также будет просканировать пул публичных адресов компании. Это позволит понять и оценить, как ИТ-инфраструктура выглядит с точки зрения потенциальных злоумышленников и определить потенциально уязвимые компоненты. Часть сервисов и приложений на период каникул лучше вообще сделать недоступными из публичного интернета.

Другой важной мерой является создание резервных копий наиболее важных систем. Это позволит восстановить их работоспособность, если ситуация будет развиваться по самому неблагоприятному сценарию.

При этом хранить резервные копии нужно таким образом, чтобы до них не добрались злоумышленники. Для доступа к ним лучше использовать отдельные учетные записи с минимально необходимым набором привилегий, а лучше хранить резервные копии в том сегменте сети, который изолирован от основного.

Необходимо также установить патчи для всех ключевых приложений, прежде всего для публично доступных сервисов. Причем эту задачу надо решать заранее, не откладывая ее на последний рабочий день перед каникулами.

Другой важной мерой является ревизия и смена паролей. Необходимо найти и удалить неиспользуемые учетные записи, сменить пароли администраторов и удаленных пользователей, установить многофакторную аутентификацию для них. Учетные записи подрядчиков нужно отключить на время каникул.

Полезным будет также аудит парольных политик, что позволит исключить «слабые» пароли, которые очень часто используют злоумышленники для атак. Также нужно убедиться в том, что никакие критичные пароли не хранятся в открытом виде на различных ресурсах. 

Полезной мерой будет проверка компрометации инфраструктуры, хотя бы на базовом уровне. Сюда входят срабатывания средств защиты, появление подозрительных файлов, запуск системных служб, появление новых пользователей, установка нового ПО. Также необходима проверка системных журналов на предмет сомнительных аутентификаций, сетевых соединений и всплесков объемов передачи трафика. Эти меры нужно повторить и сразу после каникул, чтобы убедиться в том, что в инфраструктуру компании никто не проник.

В компании также должны быть назначены ответственные за реагирование на инциденты. Необходимы пошаговые инструкции для каждого из участников команды, которые бы описывали первоочередные меры реагирования. Причем ответственные лица должны быть доступны в режиме 24/7. Данную функцию можно делегировать внешнему поставщику услуг.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru