Cisco, 04/03/21
Пандемия и удаленная работа сделали эффективные средства защиты информации актуальными как никогда прежде. Организациям пришлось ускоренными темпами защищать и масштабировать средства удаленного доступа на фоне возросших рисков кибербезопасности. На фоне этого компания Cisco определила основные тенденции 2020 г. в области защиты информации и дала рекомендации, на чем лучше сфокусироваться в 2021 г.
Тренд 1: Усиление защиты здравоохранения
В 2020 г. критичной точкой в области обеспечения информационной безопасности на фоне вспышки пандемии стала сфера здравоохранения. Риски здесь особенно высоки, ведь медицинские ИТ-системы — основа современного ухода за больными, и от их защищенности зависит человеческая жизнь.
Огромной проблемой стали устаревшие технологии. Врачи и учреждения здравоохранения постоянно взвешивают риски внедрения новых ИТ-технологий и устройств, которые могут оказаться недостаточно защищенными, соотнося их с рисками сохранения унаследованных технологий, не соответствующих новейшим достижениям медицины. В конечном счете, донесение до каждого работника сферы здравоохранения процедур обеспечения кибербезопасности жизненно важно. В медицине последствия не ограничиваются только информационными потерями.
Уместно отметить, что глобальный отчет по кибербезопасности Cisco 2021 Security Outcomes Study, в котором приняли участие 4800 специалистов в области ИБ, ИТ и защиты конфиденциальности из 25 стран, подтвердил, что эффективное взаимодействие ИТ- и ИБ-служб в сфере здравоохранения повысило способность организаций избегать серьезных инцидентов в среднем почти на 16% и минимизировать незапланированные и ресурсоемкие работы в среднем на 20%.
Тренд 2: защита подключений при удаленной работе
Переход на удаленную работу в 2020 г. подразумевал:
- во-первых, что все сотрудники должны иметь возможность безопасно работать из дома,
- во-вторых, что они сохраняют доступ ко всем необходимым корпоративным ресурсам.
Поэтому многие обратились к технологии рабочих столов Remote Desktop, которая позволяет пользователю удаленно подключаться к компьютеру. С одной стороны, рабочий компьютер оказывается как бы у сотрудника дома, но с другой — протокол RDP зачастую создает проблемы кибербезопасности.
К числу таких проблем относятся: кража идентификационных данных, атака man-in-the middle и дистанционное выполнение кода. Любое решение для удаленных рабочих столов в случае компрометации предоставляет злоумышленнику доступ к ресурсам организации. Компании, в которых применяется протокол RDP, должны предпринять дополнительные меры защиты, чтобы обезопасить себя и своих сотрудников. При этом Cisco отмечает ряд ключевых моментов:
- Не следует пользоваться RDP непосредственно через интернет. Сначала необходимо установить VPN -соединение, по которому сотрудники смогут безопасно получать доступ к необходимым ресурсам по протоколу RDP .
- Использовать многофакторную идентификацию.
- Блокировать доступ после разумного числа неудачных попыток.
Тренд 3: безопасность персональной информации
Отчет Cisco 2021 Data Privacy Benchmark Study продемонстрировал, что за время пандемии выросла важность конфиденциальности. Среди ИБ-специалистов, принявших участие в опросе, более трети заявили, что конфиденциальность данных является одной из основных сфер ответственности, наряду с оценкой и управлением рисками и реагированием на угрозы. Причем более трети организаций, инвестирующих в защиту персональных данных, получают выгоды, которые как минимум вдвое превышают объем вложенных средств.
Средние годовые расходы на защиту данных в российских организациях, участвовавших в опросе, составили порядка $1,4 млн.
Преимущества, которые их компании получили вследствие усиления мер защиты данных, российские респонденты оценили в $2,1 млн в год.
Опрошенные из России заявили, что выгода от внедрения технологий защиты данных вдвое превышает инвестиции.
Тренд 4: актуализация программ-вымогателей
В 2020 г. атаки на корпоративные сети посредством программ-вымогателей отличались новыми тактиками. Например, злоумышленники начали встраивать в вымогатели таймеры обратного отсчета, угрожая окончательным уничтожением данных или запуском атаки Big Game Hunting («Охота за большой добычей»).
При такой атаке злоумышленники используют зараженную систему как плацдарм для дальнейшего доступа к сети. С него захватываются дополнительные системы, одновременно расширяются привилегии преступников. Собственно, программа-вымогатель активируется только после заражения всех систем, чтобы нанести максимальный ущерб.
Участились рассылки с объявлениями о продаже, в которых преступники продают другим злоумышленникам доступ к различным сетям. Кроме того, теперь они используют «двойной шантаж»: до запуска программ-вымогателей похищаются большие объемы корпоративных данных, и жертвам приходится не только восстанавливать скомпрометированные сети, но и ликвидировать угрозу обнародования интеллектуальной собственности, коммерческих тайн и другой конфиденциальной информации.
Согласно результатам исследования Cisco 2021 Security Outcomes Study, успеху программ безопасности способствуют:
- Проактивное обновление ИБ-технологий – до того, как они устареют,
- Обеспечение хорошей интеграции ИБ-технологий, в том числе с широким спектром сторонних решений.
Эти практики увеличивают шансы организаций на достижение конкретных результатов, например, на создание сильной внутрикорпоративной культуры обеспечения информационной безопасности, на подбор талантливых сотрудников службы безопасности или поддержание рентабельности ИБ-программы.
В число прочих методов, которые положительно влияют на достижение желаемых результатов в области обеспечения информационной безопасности, входят точное обнаружение угроз, своевременное реагирование на инциденты и эффективное использование автоматизации. Важными факторами успешного обеспечения кибербезопасности также являются соблюдение принципа нулевого доверия и тщательная инвентаризация активов, так как невозможно по-настоящему обезопасить то, о чем не подозреваешь.
Тренд 5: охота на пароли
По данным отчета Verizon 2020 Data Breach Investigations Report, кража идентификационных данных занимает второе место среди самых распространенных действий взломщиков. И это очень серьезно, ведь используя легальные пароли, злоумышленники могут получать доступ ко всей сети, оставаясь незамеченными.
Тренды аналогичны применению программ-вымогателей: идентификационные данные, которые злоумышленники «выкачивают» с помощью техники credential dumping, используются для будущих атак. В операционных системах они могут храниться в памяти, в базах данных или в конфигурационных файлах. Атакующие после проникновения на компьютеры и получения идентификационных данных с легкостью могут скопировать пароли.
Как предотвратить выкачивание идентификационных данных:
- Вести мониторинг доступа к базам данных сервиса проверки подлинности локальной системы безопасности LSASS (Local Security Authority Subsystem Service) и системы управления средой хранения SAM ( torage Area Management).
- Отслеживать аргументы командной строки, используемые в атаках credential dumping .
- Анализировать журналы для выявления незапланированной активности на контроллерах домена.
- Выявлять неожиданные и неназначенные соединения с IP -адресов к известным контроллерам доменов.
Подробная информация в отчете Cisco Secure’s Defending Against Critical Threats report .
