Яна Шевченко, 13/03/19
Сегодня даже того небольшого числа обнародованных случаев киберинцидентов от общего колоссального объема скрываемых становится достаточно, чтобы понять, что ландшафт угроз стремительно меняется в сторону усложнения. Статистика это подтверждает, указывая на ежегодный рост финансовых последствий от целенаправленных действий злоумышленников.
Факты таковы, что для защиты от современных угроз, для успешного отражения сегодняшних комплексных детально спланированных атак под руководством настоящих профессионалов становится уже недостаточно использовать только решения, ориентированные на автоматическую блокировку угроз. В вопросе противодействия сложносоставным угрозам первостепенное значение имеют именно эффективное расследование и своевременное реагирование с привлечением специалистов.
Важным фактором становится возможность вовремя нейтрализовать действующую атаку до нанесения ею значимого ущерба. В дополнение к этому организации государственного сектора сегодня попадают под надзор наших регуляторов и, соответственно, строгих обязательств по соблюдению требований законодательства в отношении защиты критической информационной инфраструктуры (КИИ). Это требует пересмотра действующей стратегии защиты ИТ-систем, фигурирующих практически во всех критически важных бизнес-процессах компаний и фокусирования на самых ресурсоемких и дорогостоящих задачах по выявлению, расследованию и реагированию на сложные киберинциденты.
Давайте посмотрим, что у нас сейчас происходит на самом деле. К сожалению, часть организаций продолжает думать, что истории о сложных угрозах и направленных действиях злоумышленников их не касаются, постоянно обходят эту тему стороной и будут обходить и дальше. Эти компании предпочитают игнорировать проблему и осознанно принимают риск встречи со сложными инцидентами, подкрепляют свое "виденье" просчитанными на коленке возможными убытками от направленных действий злоумышленников, зачастую указывающие на меньшую сумму необходимых затрат на построение комплексной стратегии защиты от современных угроз. Очевидно, при такой постановке вопроса весы практически всегда склоняются на сторону принятия риска и надежды на безынцидентное будущее. Компании этого же типа мышления, но которые уже сегодня попадают под надзор регулирующих органов, смотрят на сложные угрозы через призму давления со стороны законодательства и начинают неохотно задумываться о выстраивании передовой защиты.
Другая часть организаций пытается защититься от сложных угроз, используя только традиционный подход – эксплуатацию решений, построенных на базе превентивных технологий, которых уже становится недостаточно в силу ряда причин, хотя бы потому, что технология превентивной защиты создавалась в эпоху массовых угроз и технологически не способна заблокировать тщательно запланированные, растянутые во времени многоступенчатые атаки наших дней, так как не поддерживает встроенную корреляцию событий, возможность ретроспективного анализа, контроля всех возможных точек проникновения и пр. Эти решения не поддерживают также централизованную запись и хранение телеметрии и вердиктов и, как результат, не могут помочь организациям соответствовать требованиям по оперативному предоставлению данных по случившимся компьютерным инцидентам в рамках законодательства по защите КИИ.
Еще встречаются организации, которые в дополнение к периметровой защите используют несколько специализированных, но не связанных между собой инструментов (Network Traffic Analyzer, мониторинг, песочница, EDR, Threat Intelligence, Threat Hunting, Incident Response и др.). Использование нескольких инструментов сопряжено с увеличением количества ручных операций и ожидаемо приводит к неэффективному использованию и перегрузке ИБ-служб задачами по сопоставлению полученных от разных решений инцидентов и необходимости переключения внимания с одного интерфейса на другой, что далеко не способствует концентрации, необходимой в процессе расследования сложных инцидентов. Такой подход приводит также к перегрузке специалистов ИТ-департамента, зачастую задействованных в процессе реагирования на огромное количество разрозненных инцидентов, которые вполне себе могут быть элементами цепочки одной сложной атаки.
Несмотря на вышесказанное, сегодня для большинства организаций главным показателем эффективности работы ИБ-служб становятся качество и скорость реагирования на инциденты. Что это означает? Что общее понимание того, что инциденты неизбежны и достаточно регулярны все же приходит. А также – что организациям придется выстраивать у себя процессы расследования и реагирования на инциденты, формировать хотя бы минимальную экспертизу и подбирать инструменты для противодействия сложным угрозам. Сегодня для эффективной защиты организаций от сложносоставных угроз и целенаправленных атак необходимо активное участие специалистов. Неоспоримым тут является тот факт, что при обилии различных решений, направленных на противодействие сложным угрозам как зарубежного, так и отечественного производства, организации испытывают колоссальный дефицит кадров.
Получается, что перед организациями сегодня стоит задача, не привлекая дополнительные ресурсы и, в идеале, снижая общие трудозатраты ИТ- и ИБ-департаментов, во-первых, обезопасить бизнес от сложных угроз, что означает обеспечить непрерывность его функционирования. А во-вторых, следовать требованиям регуляторов, что означает выстроить процесс расследования и реагирования на сложные инциденты и быть готовым своевременно предоставлять в нужном объеме информацию о найденных компьютерных инцидентах.
Организации в условиях нехватки ресурсов не могут себе позволить неэффективно использовать и перегружать имеющиеся кадры рутинными задачами. И здесь резонно возникают вопросы: а можно ли сегодня помочь компаниям без дополнительных трудозатрат обеспечить эффективное расследование комплексных инцидентов и реагирование на них, а также что сегодня может посодействовать тем компаниям, которые обязаны следовать требованиям и рекомендациям внешних регуляторов?
Цель данной статьи – помочь организациям получить ответы на поставленные выше вопросы, а также консолидировать информацию о том, что сегодня необходимо учитывать при выборе инструментов по защите от сложных угроз. Далее приведу детальное описание, как компании за счет автоматизации, централизации, наглядности и удобства эксплуатации могут оптимизировать свои трудозатраты на процесс противодействия сложным угрозам, а также в случаях, накладываемых обязательств следовать требованиям и рекомендациям регуляторов.
Автоматическая блокировка превентивными технологиями максимального числа возможных угроз
Наличие решений на уровне сети и конечных точек по блокировке угроз помогает организациям без привлечения специалистов отсеять в автоматическом режиме большое количество мелких, нерелевантных сложным атакам инцидентов и тем самым повысить эффективность выявления угроз уровня APT.
Повышение уровня автоматизации и удобство эксплуатации
Увеличение общего числа качественно обработанных инцидентов и повышение уровня вовлеченности существующих специалистов ИБ в процесс противодействия сложным угрозам возможно обеспечить за счет:
- максимальной автоматизации операций, связанных с процессами обнаружения, расследования и реагирования на инцидент;
- предоставления ИБ-специалисту единого удобного инструмента с интуитивно понятным интерфейсом для мониторинга и анализа автоматически выявленных угроз, IoC-поиска, формирования ручных запросов, основанных на предположениях в рамках проактивного поиска угроз, а также различных централизованных действий по реагированию, необходимых на этапах расследования инцидентов и нейтрализации угроз.
Автоматический сбор и централизованное хранение данных
Автоматический сбор, запись и хранение телеметрии позволит сотрудникам ИБ оперативно получать доступ к ретроспективным данным, необходимым при расследованиях, что особенно актуально в случаях недоступности скомпрометированных рабочих станций или при шифровании данных злоумышленниками. Централизованное хранение данных и вердиктов будет способствовать своевременному предоставлению информации об обнаруженных угрозах службе реагирования, а также регулирующим органам в соответствии с требованиями российского законодательства по обеспечению безопасности критической информационной инфраструктуры (КИИ).
Быстрый поиск индикаторов компрометации (IoC)
Возможность загрузки индикаторов компрометации в формате Open IoC, полученных от ФинЦЕРТ и других источников данных об угрозах, и настройка автоматических сценариев IoC-проверки упрощает работу специалистов службы ИБ по выявлению индикаторов компрометации на инфраструктуре организации, значительно сокращает трудозатраты и позволяет следовать предоставленным рекомендациям. Сканирование инфраструктуры рабочих мест в режиме реального времени или по расписанию, а также пересканирование базы ретроспективных данных существенно повышают эффективность и скорость расследования и принятия оперативных мер реагирования на инциденты.
Отображение полной картины инцидента в виде дерева событий
Поддержка встроенной автоматической корреляции разрозненных событий и возможность визуализации сформированной общей картины инцидента способствуют формированию максимально полного представления обо всех этапах спланированной злоумышленниками атаки. Это позволяет проводить детальную оценку киберугроз и оперативно реагировать на них при значительной экономии трудозатрат специалистов службы ИБ.
Автоматическое взаимодействие с глобальной аналитикой киберугроз
Поддержка доступа к глобальной системе сбора сведений об угрозах позволяет оперативно получать данные о новых угрозах и актуальных тенденциях в сфере киберпреступности. Возможность сопоставления в автоматическом режиме результатов внутренних расследований с глобальными репутационными данными значительно ускоряет процесс расследования инцидентов службой ИБ и позволяет своевременно принимать необходимые меры для успешного отражения атак.
Проактивый поиск угроз (Threat Hunting)
Инструмент для самостоятельного проактивного поиска угроз (Threat Hunting) позволяет специалисту службы ИБ составлять сложные запросы на поиск нетипичного поведения, подозрительных активностей или иных признаков вредоносных действий с учетом особенностей и специфики защищаемой инфраструктуры, что значительно повышает вероятность раннего обнаружения действий киберпреступников.
Централизованный подход к реагированию на инциденты
Централизованная постановка задач по реагированию из единой Web-консоли дает возможность службе ИБ сократить время реагирования с часов до минут. Поддержка широкого спектра действий на всех этапах работы с инцидентом (помещения файла в карантин, изолирования хоста, удаления вредоносного объекта, иные необходимых действий на рабочих станциях и серверах, восстановительных мер и пр.) позволяет специалисту службы ИБ уменьшить количество рутинных операций и избежать простоев рабочих мест за счет оперативного устранения последствий атак, без привлечения ИТ-специалистов и иных дополнительных ресурсов.
Вывод
Резюмируя, отмечу, что современная стратегия защиты от сложных угроз и целенаправленных атак должна не только уменьшать риски информационной безопасности, но и оптимизировать затраты на выстраивание процесса расследования и реагирования на инциденты. В данной статье я подробно описала, как этого можно достичь за счет унификации процессов, сокращения количества ручных задач и увеличения производительности имеющихся в ИБ-департаменте ресурсов. Все вышеупомянутые функциональные возможности и сценарии будут наиболее эффективны и менее трудозатраты, если станут внедряться организациями в рамках одного решения или тесно взаимосвязанных продуктов. Это позволит исключить нехватку интеграционных возможностей между решениями разных производителей, необходимость использования разрозненных интерфейсов, сопоставления получаемой от решений информации и т.п. Предлагаемый в статье подход противодействия современным угрозам и кибератакам даст возможность организациям в условиях дефицита кадров справиться с задачами по обеспечению передовой защиты от сложных угроз и следовать требованиям внешних регуляторов.
