В этой статье мы рассмотрим пять главных препятствий, которые могут помешать эффективно реагировать на сложные инциденты, связанные с комплексными угрозами, APT-подобными и целевыми атаками. Также мы расскажем о зрелом подходе к кибербезопасности для среднего и крупного бизнеса. Этот подход подразумевает готовность к отражению инцидентов любой сложности, даже если угроза уже проникла в корпоративный периметр, и нацелен на уменьшение ущерба от уже случившихся инцидентов. Он помогает устранить пробелы в системе кибербезопасности и стратегии защиты организации.
Чтобы понять, насколько ваша организация готова к отражению сложных атак, задайте три вопроса. Вы будете готовы к сражению, когда ответите «да» на каждый из них.
Достаточно ли хорошо ваши ИБ-эксперты:
Иронично, что сложная система кибербезопасности часто сама себе мешает выполнять то, для чего она предназначена, – успешно противостоять кибератакам. И вот почему:
Чтобы убедиться, что используемые данные об угрозах (Threat Intelligence) отражают всестороннюю информацию, нужно ответить на три вопроса:
Но это лишь первый шаг. Часто данным не хватает еще одной ключевой составляющей – релевантности. Любой специалист по кибербезопасности, знакомый с набором современных каналов аналитики угроз, знает об этом очень хорошо.
Среди угроз, с которыми сталкиваются компании, основную долю занимают простые угрозы. Потому неудивительно, что даже крупные организации с развитой системой кибербезопасности все еще уделяют им слишком много внимания.
Есть еще одна психологическая причина, по которой специалисты по безопасности по-прежнему уделяют слишком много внимания простым угрозам (вместо APT): людям свойственно первым делом сосредотачиваться на проблеме, которую легко решить. Простым угрозам уделяется слишком много внимания, которое на самом деле требуется уделить намного более опасным и сложным инцидентам.
Нехватка ИБ-специалистов связана с провалами в системе образования. Но понимание этого не поможет исправить текущую ситуацию на местах. Пока специалистов будет не хватать, организациям придется справляться с этим препятствием своими силами.
Компании часто объединяют функции ИТ и информационной безопасности в рамках одного отдела из соображений удобства и ускорения бизнес-процессов, однако такой подход может противоречить принципу разделения обязанностей. Если мы говорим про средний и крупный бизнес, то борьба с угрозами не может вестись эффективно, если одни и те же сотрудники отвечают и за решение повседневных ИТ-задач, и за оценку киберрисков.
Как показал опрос «Лаборатории Касперского»*, только в 31% крупных компаний в России есть выделенный отдел кибербезопасности и лишь в каждой десятой организации — собственный центр мониторинга и реагирования на киберинциденты (SOC).
Только в 3% крупных российских компаний есть отдел киберразведки (Threat Intelligence) и в 2% — отдел анализа вредоносных программ. Но 58% опрошенных ожидают, что в следующие три года расходы на информационную безопасность в их компании вырастут. Основными предпосылками для увеличения бюджета респонденты называли растущую сложность корпоративной ИТ-инфраструктуры, которую нужно защищать, и необходимость повышать квалификацию сотрудников.
Бизнесу нужно развивать возможности своих отделов кибербезопасности, предоставляя им современные инструменты, а также обучать ИБ-экспертов новым навыкам и оказывать им всестороннюю поддержку.
Последнее препятствие на пути к успешному разрешению сложных инцидентов является следствием четырех предыдущих. В борьбе с эксплойтами нулевого дня, атаками, использующими легитимное ПО, бесфайловыми атаками и комбинациями всего перечисленного крайне важно среагировать быстро – до нанесения весомого ущерба.
Сложный инцидент не обязательно начинается каким-то сложным способом. Часто для первичного проникновения в систему злоумышленники используют фишинговые письма. Разрушительные (и дорогостоящие) последствия многих сложных инцидентов можно было бы предотвратить, если бы реакция была быстрой.
Чем позже отреагировать на инцидент, тем выше уровень его сложности, особенно когда он является следствием сложных угроз, целевых и APT-атак. Утверждение о важности быстрой реакции может казаться упрощением, но нужно понимать, что именно имеется ввиду. Скорость не означает постоянное «тушение пожаров» и необходимость моментально реагировать на любые предупреждения. Скорость – это точное и последовательное выполнение основных процессов в рамках работы с инцидентом, решительное и последовательное. Эти процессы включают сбор данных, обнаружение угроз, расследование и анализ первопричин инцидента, проактивный поиск (Threat Hunting), сдерживание угрозы и реагирование на инциденты.
Мы призываем все средние и крупные организации с развитой ИБ-экспертизой внимательно следить за тремя основными показателями успешной стратегии защиты от сложных киберугроз и целевых атак и выстраивать работу служб кибербезопасности в соответствии с ними.
Инструменты
В области кибербезопасности даже квалифицированных сотрудников могут подвести инструменты, которые они используют. Для защиты от многовекторных и APT-атак требуются тесно взаимосвязанные инструменты, которые обеспечивает полную прозрачность того, что происходит в инфраструктуре, устраняют разрозненность, предотвращает избыток предупреждений, помогают сократить количество рутинных задач в процессе реагирования на инциденты и обеспечивают всестороннюю передовую защиту в соответствии с требованиями регуляторов.
Информация
Существующего опыта и знаний об угрозах, накопленного на практике, в организации не всегда достаточно. Горизонт киберпреступности постоянно смещается и расширяется, поэтому важно вовремя получать актуальные данные об угрозах и обеспечить процесс непрерывного обучения своего штата ИБ-специалистов.
Поддержка
В случае подозрений на компрометацию или уже обнаружения первых признаков сложных угроз даже у самых продвинутых аналитиков должна быть возможность прибегнуть к внешней поддержке и мнению третьей стороны для проведения анализа защищенности, оперативного реагирования на инциденты или получения круглосуточной защиты.
В «Лаборатории Касперского» понимают, c какими трудностями и вызовами сталкиваются компании при защите от сложных кибератак, и предлагают экспертный уровень защиты, в рамках которого выполняются все необходимые требования к стратегии защиты от сложных атак. Уровень Kaspersky Expert Security позволяет команде противостоять сложным угрозам и целевым атакам благодаря таким технологиями, как EDR, XDR, SIEM, а также уникальной аналитике угроз (Threat Intelligence), тренингам для специалистов и экспертным ИБ-сервисам.