Враг у ворот
Эксперты не раз говорили о том, какие серьезные риски информационной безопасности несет за собой массовый и не подготовленный перевод сотрудников на удаленную работу. Временно? Не для Twitter: компания заявила, что работники могут вообще не возвращаться в офис. Будут еще наверняка и другие примеры.
Личные устройства сотрудников, получившие доступ к корпоративной сети, могут стать тем слабым звеном, с которого и начнется целевая атака. Хакеры прекрасно понимают все преимущества сложившейся сейчас в мире ситуации и уже активизировали свои усилия: сканируют сети, рассылают фишинговые письма, проверяют известные уязвимости.
В эти «темные времена» как никогда остро стоит вопрос обеспечения цифровой гигиены сотрудников, создание и внедрение регламентов безопасного поведения «удаленщиков» при контактах с инфраструктурой предприятия. Но не менее важно усилить защиту самой инфраструктуры. И не только по ее сетевому периметру, но и внутри — между отдельными сегментами. Для этого подойдут современные и адаптированные для совместной работы разработки компании Positive Technologies.
Что интересно хакерам
В первом квартале 2020 года на теневом рынке киберуслуг на 69 % выросло предложение ключей доступа к корпоративным сетям. Всего на продажу было выставлено более 80 доступов. Преступники чаще всего предлагали «покопаться» в инфраструктурах промышленных предприятий, финансовых организаций, ИТ-компаний и даже учреждений науки и образования. Покупают такого рода товар, конечно, тоже злоумышленники. Атаковать своих жертв они могут или сами, или при помощи наемников – хакерских группировок.
Цена предложения тоже выросла. Пару лет назад купить «ключики» к единичным серверам можно было всего-то за 20 долларов. Теперь покупателей интересуют доступы к локальным сетям компаний, и просят за них до 30 % от потенциальной прибыли в случае успешной атаки (правда, если речь идет о компании-жертве с годовым доходом от 500 млн долларов). Но средняя цена привилегированного доступа к локальной сети тоже впечатляет: 5000 долларов.
PT Network Attack Discovery
Статистика указывает на то, что корпоративные сети все реже страдают от массовых атак, но все чаще становятся жертвами атак целевых, направленных на конкретные узлы, например, контроллеры доменов. Часто системы информационной безопасности обеспечивают приемлемый уровень защиты внешнего сетевого периметра IT-инфраструктуры, но куда реже могут отследить, что же происходит уже внутри локальной сети.
По данным специалистов Positive Technologies, 97 % сетей компаний содержат следы возможной компрометации, а в 81 % определяется текущая активность вредоносного ПО.
В условиях «удаленки» сетевую активность сотрудников компании, даже если они подключаются к инфраструктуре через VPN- или RDG-, необходимо контролировать. Причина проста: никто не даст гарантий, что за этим подключением стоит сам сотрудник, а не киберпреступник.
Выявить скрытое присутствие злоумышленников поможет система глубокого анализ трафика (network traffic analysis, NTA). Одним из таких решений является PT Network Attack Discovery, способное контролировать сеть по периметру и внутри, выявляя вредоносную активность даже в зашифрованном трафике.
PT Network Attack Discovery работает с 70 различными протоколами, разбирая трафик до прикладного уровня (L7) в 30 наиболее популярных из них. Это позволяет получить подробную картину активности в сети. Решение в состоянии идентифицировать присутствие нежелательной активности в инфраструктуре по множеству различных признаков, среди которых случаи использования хакерского инструментария или отправки данных на серверы атакующих.
Благодаря тому, что PT Network Attack Discovery хранит метаданные и «сырой» трафик центры обеспечения информационной безопасности (SoC) могут полностью «видеть» сеть, проводить расследования, выстраивать хронологию атак и собирать доказательства.
PT Sandbox
По мере совершенствования вредоносного ПО задача его своевременного обнаружения становится все сложнее. Оно хорошо защищено от классических средств, таких как антивирусы, межсетевые экраны, IPS (Intrusion Prevention System), почтовые и веб-шлюзы.
Например, чтобы обеспечить защиту от целевых атак с применением вредоносного ПО (а его можно «подцепить» и по почте, и через Интернет, и в файловых хранилищах) можно воспользоваться контролируемой виртуальной средой PT Sandbox. Это – продвинутый продукт класса «песочница».
Его функциональность позволяет анализировать не только отдельные файлы, но и трафик, чтобы отследить в нем решить сразу две задачи: вредоносную активность и повысить качество детектирования угроз, в том числе и благодаря префильтерингу с использованием нескольких антивирусов.
Дело в том, что зловредное ПО, которое используется при проведении сетевых атак, часто разрабатывается преступниками под инфраструктуру компании-жертвы и в «абстрактной» среде просто не запустится.
PT Sandbox, с его широкими возможностями кастомизации, позволяет создать точную копию информационной среды компании: с разными версиями ОС, специфическим для разных сотрудников программным обеспечением, браузерами и т. д.
Синергия подходов
Глубокая интеграция между несколькими совместно используемыми решениями Positive Technologies позволит максимально быстро выявить и нейтрализовать весь спектр информационных угроз.
Кроме того, специалисты по ИБ получают возможность выявить все ранее не обнаруженные инциденты компрометации и провести их тщательное расследование. Контекст атаки, ее участники, точки входа и уязвимости — всё это станет доказательной базой.