Постоянные угрозы повышенной сложности – новый опасный способ кибератак. Отличается он комплексным изощренным подходом преступников. Первый этап подобной атаки – тщательный выбор цели и всесторонняя разведка: проверка наличия ценной информации, поиск уязвимостей и незакрытых «черных ходов». Далее следует детальная разработка плана проникновения внутрь организации с использованием социальной инженерии, фишинга, инсайдеров. На этапе непосредственного нападения киберпреступники всеми силами и средствами стараются оставаться незамеченными и не демонстрируют в открытую свою активность. Основное отличие постоянных угроз повышенной сложности от стандартных кибератак заключается в том, что злоумышленники готовы неделями, месяцами или даже годами вести сложнейшую работу по проникновению сквозь периметр безопасности, до того момента, пока информация не будет украдена. Или пока атака не будет обнаружена и остановлена.
Команды, практикующие подобные способы хищения данных, всегда работают слаженно, укомплектованы профессионалами и имеют отличные технические и материальные ресурсы. Кроме того, они редко пользуются стандартными хакерскими инструментами, предпочитая индивидуальные решения для взлома конкретной цели. Стратегия проникновения в информационное поле компании-жертвы всегда включает использование инсайдеров, социальной инженерии, фишинга, вредоносного ПО, а также различных уязвимостей веб-сайтов.
Специалисты по безопасности разработали пять основных принципов защиты от постоянных угроз повышенной сложности.
Глубокая многоуровневая защита
В борьбе с угрозами повышенной сложности может помочь только многоуровневая, эшелонированная система защиты. И первым барьером должен стать серьезный контроль доступа в информационную сеть предприятия. Стоит отметить, что обычной авторизации с помощью логина и пароля на данный момент недостаточно. Многие компании переходят на дополнительные способы подтверждения личности пользователя с использованием биометрических параметров. Одним из таких является анализ клавиатурного почерка, позволяющий идентифицировать конкретного сотрудника по особенностям набора и, в случае несанкционированного доступа, уведомить службу безопасности.
В случае если проникновение во внутреннюю сеть организации удалось, не обойтись без систем мониторинга и анализа активности сотрудников, поскольку они позволяют выявить нетипичное поведение, свойственное для злоумышленников.
Не менее важным элементом является использование антивирусных систем, поскольку хакеры всегда используют вредоносное программное обеспечение.
Основная цель в противостоянии с постоянными угрозами повышенной сложности – сделать первичное проникновение во внутреннюю информационную сеть максимально сложным. Каждый новый слой защиты должен в разы усложнять работу киберпреступников. Такая система позволит или полностью остановить атаку, или даст время на обнаружение угрозы и ее ликвидацию.
Анализ аномалий и нетипичное поведение
Выявить постоянные угрозы повышенной сложности можно с помощью анализа отклонений от нормы и нетипичного поведения. Например, даже небольшие изменения в трафике данных свидетельствуют о том, что информация находится под угрозой.
Однако наиболее важным является тщательный мониторинг действий сотрудников. Основные инструменты первоначальной инфильтрации сквозь информационный периметр безопасности — социальная инженерия, фишинг, использование инсайдеров. Злоумышленники всеми силами стараются проникнуть в сеть под видом сотрудников компании, ведь так гораздо сложнее обнаружить их вредоносную активность.
Главная уязвимость подобной тактики проникновения заключается в том, что поведение киберпреступников либо инсайдеров всегда отличается от стандартной «нормальной» активности. Современные комплексы мониторинга работы персонала позволяют выявить подобные отклонения и своевременно обнаружить угрозу.
Разведка угроз и анализ рисков
Разведка угроз и анализ рисков — один из мощнейших инструментов, позволяющий своевременно обнаружить основные уязвимости системы безопасности, а также предвидеть главные векторы возможной атаки.
В основе разведки угроз лежит сбор и обработка информации о последних информационных инцидентах, их жертвах и способах хищения данных. Изучая прессу можно выявить закономерности в выборе целей, а также узнать, какие методики кражи информации в тренде у киберпреступников. К тому же это отличный инструмент, позволяющий службе безопасности обнаружить уязвимости в режиме реального времени, и точечно концентрировать ресурсы для укрепления защиты в наиболее опасных местах.
Не менее важным является анализ и прогноз рисков внутри компании. Системы, обладающие подобной функциональностью, легко обнаруживают самые слабые сегменты периметра безопасности, а ведь именно на них обратят внимание злоумышленники при планировании атаки.
Постоянные угрозы повышенной сложности характеризуются использование целого комплекса разнообразных инструментов проникновения. Поэтому критически важно выявить признаки чужеродного вторжения на раннем этапе. Разведка угроз позволяет найти упущенное звено, которое связывает воедино обнаруженные в компании аномалии с найденными рисками и уязвимостями, позволяя купировать нападение на ранней стадии.
Обучение персонала
Грамотный штат сотрудников, осознающих персональную ответственность за безопасность организации, невероятно важный элемент защиты информационного периметра. Зачастую именно неосознанные действия работников приводят к утечкам информации: клики по странным ссылкам в электронной почте, запуск подозрительных вложений, коды доступа, записанные на клочке бумаги и сфотографированные на телефон.
Каждый сотрудник организации должен быть ознакомлен с информационной политикой компании. Западные организации уже давно внедрили в обиход штрафные санкции, которые применяются к персоналу, нарушившему правила информационной безопасности.
Реакция на утечку данных
От утечки данных не застрахован никто. Большинство специалистов сходятся во мнении, что основной вопрос не в том, будет ли утечка данных, а в том — когда она произойдет. Четкая, скрупулезно прописанная стратегия ответа на информационный инцидент позволяет снизить урон репутации компании, минимизировать финансовый ущерб и не допустить утечки критически важной информации в случае прорыва периметра безопасности.
Не менее важной задачей является сохранение улик: это позволяет обнаружить виновных как внутри организации, а редко какая атака обходится без инсайдера, так и вне ее.
Любой бизнес, не зависимо от размера и сферы деятельности может столкнуться с постоянными угрозами повышенной сложности. Изучение способов действия злоумышленников дает возможность выстроить такую систему информационной защиты, которая сможет отразить атаку любой сложности. А в некоторых случаях, поможет избежать нападения: киберпреступники не любят слишком сложные цели.
