Поиск по сайту
Технологии
17.12.2018 08:42

Как противостоять хакеру?

На теневом рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами.
Нижний Новгород. 17 декабря. NewsRoom24.ru -

Эксперты компании Positive Technologies – производителя программного обеспечения в сфере информационной безопасности − рассказали о том, какие технологии защиты сегодня необходимы для эффективной борьбы киберпреступностью.

Число кибератак постоянно растет: по статистике Positive Technologies, только за второй квартал 2018 года общее число инцидентов выросло более чем на 40%. Это обусловлено несколькими причинами. Сейчас злоумышленнику уже не нужно обладать высоким уровнем знаний в области информационных технологий – достаточно купить некие готовые решения. Так, на теневом рынке появляются универсальные трояны, которые можно использовать как для шпионажа и кражи данных, так и для удаленного управления устройствами. При этом спрос на разработку и распространение вредоносного ПО значительно превышает предложение. Использование криптовалюты для оплаты только упрощает куплю-продажу.

Атаки через «своих»

Бизнес все чаще оказывается перед лицом целевых кибератак. В 2017 году с ними так или иначе столкнулась практически каждая вторая организация. В 2018 году ситуация сохранилась: эксперты Positive Technologies продолжили выявлять злоумышленников в инфраструктурах обследуемых организаций, причем время их присутствия иногда все еще исчисляется годами. Сами же атаки существенно усложняются с технологической точки зрения: злоумышленники стали активнее использовать методы, затрудняющие анализ и расследование инцидентов.

«Один из самых необычных способов проникновения в организацию, который мы выявили, ‒ это атака через поставщика строительного оборудования. История хорошо демонстрирует степень подготовки злоумышленников: они смогли узнать о проведении ремонтных работ в компании, нашли подрядчика – поставщика гранита, взломали его инфраструктуру (их подходы к защите были весьма тривиальными) и с помощью фишинговой рассылки внедрились в целевую организацию», ‒ рассказал руководитель экспертного центра безопасности Positive Technologies Алексей Новиков.

Существенно сокращается временное окно между появлением новой технологии и принятием ее на вооружение: в среднем между появлением нового эксплойта (компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атак) и началом активного его использования злоумышленниками проходит от трех до пяти дней. А некоторые особо продвинутые группировки тратят на адаптацию новых эксплойтов и техник с их последующим применением в своих атаках всего несколько часов.

Находим баланс

Мировой опыт показывает, что до сих пор всеобщая безопасность страдает от несоблюдения основ кибергигиены: в значительном числе аудитов эксперты компании сталкиваются с необновленным ПО, с отсутствием культуры патч-менеджмента (своевременное обновление ПО), с дырявым периметром — внешней границы сети.

Тем не менее, в целом, в вопросе обеспечения безопасности систем технологического управления замечен существенный прогресс. Во-первых, за счет того, что все больше и больше фокус внимания заказчиков переходит в практическую плоскость. Безусловно, на позитивную динамику влияют и требования регуляторов.

Однако, если говорить о защите промышленных объектов, до сих пор в некоторых организациях существует стереотипная уверенность в том, что среднестатистический киберпреступник при всем желании не сможет проникнуть дальше офисной сети. На самом же деле это заблуждение: практика Positive Technologies показывает, что более чем в 80% случаев  можно попасть из корпоративной сети в технологическую и причинить существенный ущерб, не имея глубоких познаний в информационных технологиях.

В линейке Positive Technologies уже несколько лет есть специализированный продукт PT Industrial Security Incident Manager, который обеспечивает непрерывный мониторинг защищенности сети АСУ ТП [1], помогает на ранней стадии выявлять кибератаки, неавторизованные действия персонала и обеспечивает соответствие требованиям законодательства. В этом году компания представила первую в мире бесплатную систему мониторинга безопасности АСУ ТП –  PT ISIM freeView. За первые три недели ее скачали сотни компаний - от небольших цехов до морских портов и ЦОДов. Это стало наглядным показателем того, что специалисты на предприятиях нуждаются в простых и эффективных решениях, которые помогут начать борьбу с киберугрозами в производственных системах.

Сегодня число устройств, подключенных к cети, значительно увеличилось. Поэтому своевременное обнаружение подозрительной активности — задача первостепенной важности. Специальные решения, осуществляющие мониторинг информационных систем, анализирующие информацию в cети и на основании этого обнаруживающие вредоносную деятельность, известны уже много лет. Речь идет о SIEM-системах (SIEM — security information and event management). Их функционал незаменим, к примеру MaxPatrol SIEM обрабатывает события ИБ, собирает данные об активах и автоматически выявляет угрозы, в том числе ранее неизвестные. Служба ИБ моментально получает уведомления об инцидентах, что помогает оперативно отреагировать на атаку, провести детальное расследование и предотвратить репутационный и финансовый ущерб. Пользователи MaxPatrol SIEM регулярно получают новые правила корреляции и рекомендации по расследованию инцидентов, разработанные экспертным центром безопасности Positive Technologies, что помогает эффективно противодействовать самым актуальным угрозам.

Говоря о корпоративной защите, эксперты Positive Technologies отмечают, что число компаний, которые стали жертвами целевых атак в 2017 году,  выросло в два раза. При этом 9 из 10 жертв даже не подозревают о взломе.

«Обнаружение атаки в среднем происходит через 197 дней, — говорит Алексей Данилин, руководитель направления по развитию бизнеса Positive Technologies. - После преодоления периметра около 60% атак распространяются в инфраструктуре горизонтально, поэтому они долго остаются незамеченными. Чтобы эффективно и заблаговременно детектировать целевые атаки, необходимо следить за злонамеренной активностью и на периметре, и внутри сети, выявляя атаки в трафике. И конечно, необходимо выполнять регулярный ретроспективный анализ».

Комплекс для раннего выявления сложных угроз позволяет в режиме реального времени обнаруживать и локализовывать присутствие злоумышленника в сети, а также воссоздавать полную картину атаки для детального расследования. Решение анализирует файлы в различных потоках данных с помощью нескольких антивирусов, «песочницы» и собственных репутационных списков, а также выявляет атаки в трафике на основе большого количества признаков. Так, к примеру, автоматически выявляется применение всех популярных хакерских инструментов, эксплуатация уязвимостей ПО и нарушение политик безопасности — то, что обычно остается не замеченным другими средствами защиты.


[1] Автоматизированные системы управления техническим процессом



Еще в рубрике
 
Текст сообщения*
Перетащите файлы
Ничего не найдено
Защита от автоматических сообщений

ТОП новостей

Нацистские лозунги в школе закончились составлением протоколов в Кстове
23.4.2024 17:17
Нацистские лозунги в школе закончились составлением протоколов в Кстове

Видео с полуголым сотрудником «Школы 800» попало в Сеть
23.4.2024 23:14
Видео с полуголым сотрудником «Школы 800» попало в Сеть

Огромный провал грунта образовался в Арзамасском округе
23.4.2024 20:01
Огромный провал грунта образовался в Арзамасском округе

Еще в рубрике

Подробно

Названы самые скандальные бары Нижнего Новгорода
17.4.2024 11:41
Названы самые скандальные бары Нижнего Новгорода

Нижегородцам рассказали, как вести себя во время теракта
24.3.2024 12:01
Нижегородцам рассказали, как вести себя во время теракта

Нижегородская область станет семейно-ориентированным регионом
21.3.2024 15:24
Нижегородская область станет семейно-ориентированным регионом

Еще в рубрике