Когда речь заходит о стратегии информационной безопасности, бизнес интересует ответ на один вопрос — какие меры можно считать достаточными. Долгое время считалось, что можно придерживаться пассивной стратегии: защитить периметр сети и рабочие места сотрудников. Но теперь это не так — Enterprise-компании все чаще становятся жертвами сложных и целевых атак. И для защиты от них не обойтись без новых методов. В частности, без решения класса EDR (Endpoint Detection and Response).
Почему пассивных стратегий недостаточно
Пассивные стратегии хорошо работают против массовых угроз — веерных рассылок троянцев, фишинга, эксплуатации известных уязвимостей. То есть в тех случаях, когда злоумышленники рассчитывают получить прибыль за счет того, что «хоть у кого-то да сработает». У них ведь тоже бизнес, пусть и преступный. И они тоже постоянно ищут баланс, только в их случае это баланс между сложностью атаки (а значит, стоимостью ее организации) и ожидаемой прибылью.
Как только ваша компания становится интересной целью (а если вы enterprise-компания, то вы с высокой долей вероятности ею являетесь), находятся люди, которые начинают прикидывать — а что если их атаковать? Они могут интересоваться совершенно разными вещами. Финансовыми транзакциями, коммерческими секретами, данными ваших клиентов. В конце концов, целью их атаки может быть элементарный саботаж в интересах конкурентов. Впрочем, им совершенно не обязательно интересоваться именно вашим бизнесом — они могут счесть выгодной атаку на компании, работающие в вашей сфере.
И вот тут злоумышленники начинают вкладываться в организацию продвинутых и целевых атак. Искать до сих пор не известные рынку уязвимости в используемом вами софте и разрабатывать уникальные эксплойты. Вычислять лазейки через партнеров или поставщиков и подкупать бывших сотрудников. Находить недовольных среди тех, кто уже работает у вас и пытаться организовать атаку изнутри. В последнем случае злоумышленники вообще могут обойтись без вредоносного ПО, а пользоваться исключительно легитимными инструментами, которые с точки зрения классических защитных решений не являются угрозами.
В чем опасность поздней реакции
Есть шансы, что целевая атака или какая-то активность, связанная с этой атакой, будет выявлена пассивными системами. Но, во-первых, вероятность этого не стопроцентная, а во-вторых, чаще всего выявлен будет сам факт инцидента. И это не поможет оперативно определить, что именно произошло, какая информация была затронута инцидентом, как это остановить и как избежать повторения.
Если в компании используются только традиционные средства защиты рабочих мест, то сотрудники служб безопасности не всегда могут вовремя отреагировать на атаку. Во-первых, они вынуждены ждать возникновения киберинцидента, чтобы начать расследование. Во-вторых, они могут пропустить приоритетный инцидент за сотнями более мелких, неизбежно возникающих в крупной компании.
В руки аналитиков эти данные обычно попадают гораздо позже. И только после тщательного исследования, а это зачастую кропотливая ручная работа, инцидент переходит к экспертам по реагированию и восстановлению. А ведь нередко бывает, что даже в крупных компаниях с серьезными центрами реагирования все три роли — безопасник, аналитик и эксперт по реагированию — выполняет один человек.
А между тем, по нашей статистике, от первого проникновения до первичного обнаружения сложной угрозы в крупных организациях проходит в среднем более 214 дней. В лучшем случае сотрудникам ИБ удается идентифицировать следы атаки на последнем этапе цепочки развития угрозы (killchain). Чаще же всего им остается постфактум считать потери и восстанавливать системы.
Как минимизировать риски и оптимизировать эффективность ИБ
Для защиты интеллектуальной собственности, репутации и других ключевых активов организаций требуется новый адаптивный подход. Стратегии защиты периметра сети и рабочих мест должны быть скорректированы и усилены инструментами для активного поиска, унифицированного расследования и реагирования на угрозы ИБ.
Подобная концепция активного поиска угроз называется «охотой на угрозы» (Threat Hunting). Это достаточно сложная задача, но ее здорово облегчает применение специализированных инструментов. Таких, как решения класса EDR — Endpoint Detection and Response. Оно дает возможность сотрудникам службы информационной безопасности через единый интерфейс оперативно идентифицировать угрозы на рабочих станциях, автоматически сопоставлять информацию и нейтрализовывать атаку. EDR-системы позволяют использовать информацию об угрозах (ThreatIntelligence), которую многие компании приобретают из разных источников, для контроля процессов во всей корпоративной сети.
Теоретически можно организовать Threat Hunting и без EDR, однако чисто ручная охота на угрозы обойдется компании гораздо дороже и будет менее эффективной. Но это еще полбеды — она может негативно сказаться на бизнес-процессах, поскольку аналитикам придется вмешиваться в работу самых разных рабочих станций.
По сути, EDR дает сотрудникам SOC возможность быстро собрать все необходимые данные, проанализировать их (как автоматически, так и в ручном режиме), принять решение и тут же, через единый интерфейс управления, хирургически точно удалять любые файлы или вредоносные программы, помещать объекты в карантин, удаленно запускать необходимые процедуры восстановления. И все это абсолютно незаметно для пользователей, без необходимости физического доступа к рабочим местам и не нарушая непрерывности бизнеса компании.
Мы уже некоторое время ведем разработку именно в этом направлении и запустили пилотный вариант собственного EDR-решения. Узнайте больше о решении Kaspersky Endpoint Detection and Response на странице решения.