Кіберзагрози надходять з усіх боків. Оскільки зловмисники продовжують удосконалювати свій інструментарій для більш лаконічних атак на цілі, організації стикаються з проблемами підготовки до загроз, одночасно впроваджуючи заходи з їх пом’якшення, щоб реагувати на них якомога швидше та ефективніше. Однією з найбільш критичних є зовнішні загрози, що походять ззовні організації – вони є одними з найпоширеніших типів загроз, від яких найважче захиститися, але з ними можна впоратися за допомогою цілісної, комплексної стратегії безпеки.
Ласкаво просимо до цієї серії блогів, в яких ми висвітлюємо головні виклики безпеці, з якими стикаються організації, та обговорюємо, як їх подолати. У цій серії з п’яти статей, кожна з яких буде присвячена конкретній проблемі, ми надамо рекомендації щодо того, як знайти метод(и), який(і) підійде(ють) саме вам, задовольняючи при цьому унікальні потреби вашої організації, щоб піднятися над кожним з цих викликів.
Враховуючи різні потреби, вимоги, бюджетні обмеження та регіональне розташування кожної організації, розглядайте наведені тут рекомендації як менш директивні (тобто, ви повинні робити саме так), а скоріше як перелік потенційних варіантів – разом з їхніми сильними та слабкими сторонами – що дозволить організаціям та адміністративним командам, які їх підтримують, розробити стратегію безпеки, яка найкраще підійде саме для них, водночас протидіючи загрозам, атакам та проблемам сучасного ландшафту загроз, які найбільше впливають на їхні бізнес-операції, процеси, користувачів та, звісно, на дані.
У попередньому блозі ми обговорили виклики, пов’язані з непередбачуваними бізнес-ризиками в контексті загроз кібербезпеки, таких як хакерські групи, високопоставлені цілі та роль інсайдерських загроз. У нашій четвертій частині ми звернемо увагу на підготовку до загроз кібербезпеки, що походять ззовні організації, а саме на підготовку до таких загроз, як
- цілеспрямовані атаки з боку національних держав
- Ризик, пов’язаний з використанням особистих пристроїв користувачами
- Використання несанкціонованого програмного забезпечення та сервісів на роботі
- Невиявлені загрози всередині інфраструктури
Перейдімо безпосередньо до справи, чи не так?
Національні держави
Державне стеження за громадянами. Деспотичний контроль. “Великий брат”. Залежно від того, яку частину світу ви називаєте своєю домівкою, будь-який з цих евфемізмів може відповідати опису національної держави або спонсорованих загроз. Це жодним чином не означає, що спостереження і т.п., особливо те, що слугує великій меті нагляду за цивільними особами в громадських місцях, таких як автомагістралі, торгові центри та зупинки громадського транспорту, є чимось більшим, ніж зловживання владою. Ні, це лише виявлення того, що не всі уряди побудовані за однаковими принципами, і це поширюється на їхні погляди на свій народ.
Оскільки різні програми дій часто призводять до різних результатів, якщо розглядати їх через призму захисту суверенітету країни, та ж тактика, що застосовується в усьому світі, природно, поширюється і на цифрову сферу: шпигунство, саботаж і навіть повномасштабні війни, що ведуться в кіберпросторі (докладніше про це пізніше).
Хто піддається ризику атак з боку національних держав?
Простіше кажучи, будь-яка людина може стати об’єктом атаки з боку національної держави. З огляду на величезні ресурси, включаючи доступ до комунікацій та обладнання, а також найкращих суб’єктів загрози, атаки з боку національних держав становлять значну загрозу і для організацій, незалежно від того, чи мають вони зв’язки з урядом, чи є просто приватними компаніями, які здійснюють свої бізнес-операції.
Яка їхня мета?
Ці типи атак, як правило, мають низку різних векторів, на які вони спрямовані, але в кінцевому підсумку вони зосереджуються на кількох основних цілях:
- порушити або саботувати операції/інфраструктуру
- Поширення дезінформації або модифікація інформації
- Отримати критично важливу інформацію, таку як конфіденційні та чутливі дані
- Заборонити “викривачам” виступати проти них
Які цілі найчастіше стають об’єктами атак з боку національних держав?
Хоча будь-яка людина або організація може потрапити під приціл атак з боку національних держав або спонсорів, як правило, мотивація таких атак відповідає порядку денному тієї чи іншої країни. Серед таких мішеней можна виділити наступні, які є найпоширенішими:
- Будь-яка особа, яка вважається національною загрозою, наприклад, дисиденти, журналісти та групи, які активно виступають проти країни або викривають несправедливі практики
- об’єкти критичної інфраструктури, такі як комунальні підприємства, фінансові установи, організації зв’язку та охорони здоров’я
- Військові об’єкти, в тому числі системи озброєння, інформаційні бази даних та розвідувальні дані, такі як плани, переміщення та місцезнаходження
- Політичні кампанії, фальсифікація результатів голосування або втручання у вибори, а також державні та приватні веб-сайти.
Як підприємства можуть найкраще захистити себе та своїх користувачів від атак з боку національних держав?
Важливо не недооцінювати атаки з боку національних держав. Перш за все, як і більшість кіберзагроз, вони можуть використовувати ризик для досягнення своїх цілей, і як тільки вектор атаки знайдено, атака може призвести до витоку даних за відносно короткий проміжок часу. Однак, на відміну від інших кіберзагроз або випадкових атак, атаки з боку національних держав часто дуже добре фінансуються і добре готуються, маючи доступ до потужного інструментарію для здійснення складних атак. Крім того, хоча мотивація є центральною темою, вона не є обов’язковою, оскільки історично відомо, що національні держави проводять кібератаки без чіткої місії, а навпаки, дуже терпляче, не поспішаючи збирати розвідувальну інформацію і лише потім планують свої атаки – навіть якщо на це йдуть роки.
Маючи це на увазі, ІТ-відділи та служби безпеки повинні усвідомлювати, що не існує срібної кулі або універсального рішення, яке пом’якшить будь-яку загрозу, а тим більше ретельно сплановану.
Насправді, найкращим ресурсом у вашому арсеналі є мінімізація ризику стати жертвою загроз з боку національних держав. Запровадьте потужну багаторівневу стратегію захисту, яка посилить вашу безпеку та безпеку пристроїв, що підключаються до ресурсів організації та отримують до них доступ. Наприклад:
- Проведіть оцінку ризиків, щоб зрозуміти загрози з боку національних держав, типи здійснюваних атак і визначити, які з ваших ресурсів перебувають під загрозою – це перший важливий крок.
- Розгортайте та впроваджуйте безпечні конфігурації на пристроях за допомогою управління мобільними пристроями (MDM), щоб зменшити ризик неправильної конфігурації пристроїв, що належать компанії та користувачеві
- Впровадити план управління виправленнями, який гарантує, що на пристроях будуть встановлені актуальні виправлення для операційних систем і додатків
- Інтегруйте хмарного постачальника ідентифікаційних даних (IdP) з вашими рішеннями для управління та безпеки, щоб захистити робочі процеси доступу, одночасно розширюючи дозволи та засоби захисту у вашій інфраструктурі.
- Вимагайте MFA і контекстно-залежний контроль умовного доступу для всіх пристроїв – локальних і віддалених – забезпечуючи по-справжньому масштабований, безпечний захист в будь-якій мережі за допомогою Zero Touch Network Access (ZTNA).
- Відстежуйте відповідність кінцевих точок вимогам і передавайте дані журналювання у вибране вами рішення SIEM, щоб отримати уявлення про стан пристроїв у режимі реального часу
- Розгортайте захист кінцевих пристроїв у мережі та на пристроях для всього парку обладнання, узгоджуючи його з системами безпеки, щоб запобігти шкідливому програмному забезпеченню та мінімізувати ризики.
- Виявляйте та усувайте невідомі загрози за допомогою розширеної поведінкової аналітики, щоб виявляти підозрілу поведінку та виявляти зловмисні загрози до того, як вони призведуть до витоку даних
- Перевіряйте партнерів, щоб переконатися, що ваш ланцюжок поставок вживає належних заходів для зниження ризику проникнення в вашу організацію через компрометацію третьою стороною, забезпечуючи захист кінцевих точок на кожному кроці ланцюжка.
- Передавайте знання про кіберзагрози через регулярні тренінги з підвищення обізнаності кінцевих користувачів щодо безпеки, розширюючи знання користувачів для виявлення та зупинення загроз соціальної інженерії
Принеси свій власний пристрій (BYOD)
Програми BYOD існують вже досить давно. Насправді, поява iPhone у 2007 році дала поштовх бурхливому розвитку сучасного смартфону, що призвело до його широкого використання як в особистих цілях, так і в бізнесі.
У міру того, як використання продовжувало стрімко зростати, все більше користувачів переходили на мобільні пристрої через їхню гнучкість, простоту використання та ефективну продуктивність у порівнянні з більшими та громіздкими мобільними комп’ютерами. Останні також були важчими і потребували частішої підзарядки, щоб пристрій не вимикався після кількох годин безперервної роботи. Не кажучи вже про давню проблему підтримки декількох операційних систем на різних типах пристроїв, що, безумовно, збільшувало навантаження на ІТ-відділи та служби безпеки, які намагалися забезпечити безпеку пристроїв і мережі компанії.
Як вирішити проблему підтримки мобільних пристроїв без шкоди для безпеки? Управління мобільними пристроями (MDM).
MDM у поєднанні з підтримкою від Apple через її фреймворки безпеки дійсно прискорило управління мобільними пристроями, а також дало поштовх до прискорення, розробивши фреймворк, який підтримує безпеку та конфіденційність користувачів з самого початку. Такі рішення, як Jamf Pro, повністю підтримують основу, створену Apple, і розширюють її, підтримуючи всі моделі власності та підтримку в той же день, що забезпечує надійну основу для ІТ-відділу для управління всіма пристроями macOS, iOS/iPadOS і tvOS, які отримують доступ до корпоративних мереж у безпечний і надійний спосіб.
Поширюючи робочі процеси управління та безпеки на всі пристрої, незалежно від того, чи належать вони особисто або компанії, організації одночасно обмежують ризики, пов’язані з цими пристроями:
- Неправильно налаштований або взагалі не налаштований
- Відсутні останні оновлення безпеки
- Відсутні необхідні програми та оновлення
- Не підлягає відновленню або дані можуть бути стерті в разі втрати чи крадіжки
- Не відповідає вимогам через використання несанкціонованих додатків/сервісів (тіньові ІТ)
- Обробка та зберігання даних у незахищених обсягах
- Спілкування через ненадійні мережі без шифрування
- Залишення даних незашифрованими через невикористання паролів
- Відсутність моніторингу та звітності щодо важливих даних про стан пристрою в режимі реального часу
- Некерованість з боку ІТ / служби безпеки, що не дозволяє їм ефективно боротися з інцидентами
Наведений вище список далеко не вичерпний, коли мова йде про захист ваших пристроїв на роботі. Тим не менш, деякі з способів, за допомогою яких організації можуть використовувати MDM для забезпечення плавного переходу на особисті пристрої користувачів, зберігаючи при цьому безпеку бізнес-ресурсів, наведені нижче:
- Ініційована користувачем реєстрація дозволяє кінцевим користувачам отримати захист бізнес-ресурсів на рівні підприємства в окремому захищеному томі, зберігаючи конфіденційність користувачів та їхні особисті дані недоторканими
- Налаштування блокування на пристроях, наприклад, встановлення профілів конфігурації для захисту підключення до бездротових мереж і бізнес-ресурсів
- Переконайтеся, що на пристроях встановлені актуальні оновлення системи та безпеки для усунення вразливостей
- Розгортайте підтримувані, попередньо налаштовані програми, щоб захистити дані та зберегти продуктивність користувачів
- Забезпечуйте відповідність вимогам компанії та регуляторних органів за допомогою управління на основі політик
- Впроваджуйте керовані ідентифікатори Apple ID для корпоративного використання та окремий споживчий ідентифікатор Apple ID для особистого використання, включно з хмарним резервним копіюванням даних і налаштувань.
- Вмикайте функції та можливості для посилення безпеки, наприклад, вимагайте паролі та шифрування даних
- Використовуйте каталог Self Service із попередньо схваленими бізнес-додатками, щоб розширити можливості користувачів під час розгортання необхідних служб, як-от ZTNA для безпечного віддаленого доступу до бізнес-ресурсів.
- Інтегруйте рішення MDM та Endpoint Security для моніторингу стану пристроїв у режимі реального часу та автоматизації процесів усунення несправностей
- Активно запобігайте загрозам як на пристроях, так і в мережі, забезпечуючи постійний захист пристроїв.
Тіньові ІТ
У попередньому розділі ми говорили про проблеми BYOD. І хоча іноді їх ототожнюють з тіньовими ІТ, правда полягає в тому, що санкціоновані програми BYOD слугують одним з рішень для зменшення загрози тіньових ІТ. Тим не менш, тіньові ІТ-загрози полягають не лише у використанні непідтримуваних пристроїв для роботи. Вони також включають використання несанкціонованих додатків і сервісів, які не були перевірені ІТ-відділами та службами безпеки при доступі, обробці, зберіганні або передачі даних компанії.
Хоча тіньові ІТ не є зловмисними за своєю природою, вони почали формуватися, коли кінцеві користувачі, часто розчаровані недоступністю або недостатньою зручністю офіційних, санкціонованих компанією програм і сервісів, поступилися місцем користувачам, які покладаються на краще обладнання і простіше, ефективніше програмне забезпечення, щоб залишатися продуктивними і працювати так, щоб це додавало цінності роботі, а не віднімало її.
Як і у випадку з більшістю речей у сфері безпеки, інструмент – це лише інструмент. Зловмисним він є чи ні, залежить від намірів користувача, який ним користується. Однак, на відміну від інших інструментів, у сфері кібербезпеки намір – не єдиний компонент елементу ризику. Існує також те, чи користувач свідомо чи несвідомо створив ризик, який часто поєднується з наміром.
Однак, визначення зловмисних намірів виходить за рамки цього блогу, а скоріше визначення факторів ризику, що створюються тіньовими ІТ, і, що більш важливо, як їх ефективно зменшити, щоб зміцнити захист вашої організації від витоків даних.
Зрештою, це питання коштує від $3,08 до $5,02 млн, згідно зі звітом IBM “Вартість порушень у 2022 році”, в якому йдеться про те, що “зловмисники скористалися помилками конфігурації та будь-якими вразливостями в додатках, багато з яких не були виявлені через те, що працівники використовували несанкціоновані сервіси”.
Як компанії можуть захистити те, про що вони не знають?
Використовуючи тіньові ІТ, ось як.
Пояснимо, що це не означає дозволити кінцевим користувачам використовувати будь-які апаратні та програмні засоби без нагляду. Це також не означає повернення до кінця 90-х і 2000-х років, прийняття “залізного” підходу до управління ІТ. Ні, це просто означає використання сучасних інструментів, практик і процедур безпеки, які є більш гнучкими, але водночас захищають бізнес-ресурси від несанкціонованого доступу та використання даних.
Як захистити активи від тіньових ІТ-загроз?
Першим кроком є розуміння того, чому користувачі звертаються до тіньових ІТ, які ресурси використовуються і чому вони пропонують краще рішення, ніж те, що пропонує організація. Озброївшись цією інформацією, компанія може краще зрозуміти, які ризики створює Shadow IT, і, нарешті, отримати відповідь на поставлене спочатку питання: як найкраще захистити активи.
Гаразд, тепер, коли я знаю, що потрібно захищати і чому, як я можу це зробити?
Частково пропозиція прийняти тіньові ІТ означає чітке розуміння того, що просто сказати кінцевим користувачам, що вони не можуть користуватися певним пристроєм, додатком або послугою, просто не спрацює. Коли мова йде про безпеку даних, не варто просто вірити комусь на слово, ви повинні мати можливість перевірити і забезпечити, щоб засоби захисту були на місці і активно зменшували загрози.
Цього можна досягти, використовуючи багаторівневу стратегію для ефективного захисту ресурсів, забезпечуючи при цьому гнучкість вибору, про яку користувачі можуть просити (або навіть потребувати), щоб бути найбільш продуктивними.
- Впроваджуйте програми BYOD на вибір співробітників або санкціоновані програми, які дозволяють співробітникам працювати з технологіями, з якими вони відчувають себе найбільш комфортно, дозволяючи при цьому належним чином конфігурувати пристрої за допомогою рішення MDM компанії для більшої прозорості та безпеки.
- Приведіть тіньові ІТ-технології у відповідність до стандартів і протоколів організації, наприклад, розгорніть технології захисту кінцевих точок, які інтегруються з системами управління та ідентифікації, щоб комплексно захистити пристрої, користувачів і дані.
- Удосконалюйте засоби захисту. Наприклад, впровадження рішення Zero Trust Network Access (ZTNA) для захисту бізнес-ресурсів від несанкціонованого доступу та скомпрометованих пристроїв шляхом перевірки облікових даних користувачів і стану кінцевих точок при кожному запиті на доступ і перед його задоволенням, щоб мінімізувати вразливість і витік даних.
- Розробіть вимоги до апаратного/програмного забезпечення для доступу до захищених бізнес-ресурсів, вимагаючи, щоб пристрої відповідали цим стандартам, наприклад, шифрування для зберігання даних на пристроях і в мережах.
- Оптимізуйте операції, визначте пріоритети ІТ-активів, які забезпечують найбільшу користь для безпеки кінцевих точок, користувачів і даних, а також адаптуйтеся до потреб розподілених робочих груп, одночасно скорочуючи витрати за рахунок відмови від несумісних і недостатньо завантажених ресурсів.
Полювання на загрози
Захист кінцевих пристроїв – це “не складно”, чи не так? Коли мова заходить про безпеку кінцевих пристроїв, однією із загроз, яка стоїть на першому місці, є, мабуть, шкідливе програмне забезпечення. Шкідливий код в його незліченних формах залишається однією з ключових загроз кібербезпеці. І хоча захист кінцевих точок забезпечує відмінний рівень безпеки від відомих типів загроз, поведінкова аналітика, що використовується в багатьох з цих рішень, захищає пристрої, запобігаючи відомим загрозам на основі їхніх сигнатур.
Але це лише частина історії, чи не так? Інша частина ховається в нутрощах ваших пристроїв, похована під рядками коду в додатках, встановлених в операційній системі – іноді ці невідомі загрози зачаїлися, вичікуючи свого часу – збираючи якомога більше інформації про діяльність вашої компанії, просто чекаючи слушного моменту, щоб завдати удару.
Прониклива цитата Джонатана Реймонда чудово відображає цей настрій: “Ви не можете знати того, чого не знаєте. Ви не можете знати про речі, які вам ще належить відкрити”. Але саме друге речення відкриває перед ІТ та службами безпеки двері до задоволення фундаментальної цікавості, оскільки воно ставить питання: що можна зробити, щоб виявити і, отже, дізнатися більше?
Відповідь на це питання – полювання на загрози.
Як ми вже згадували раніше, не всі суб’єкти загроз поводяться однаково. Їхні дії так само різні, як і їхні цілі. У той час як одні використовують свої інструменти, щоб поспішно скористатися вікном можливостей, інші ретельно розробляють плани для гри в довгу, спостерігаючи за цілями протягом невизначеного періоду часу, накопичуючи дані і використовуючи їх для створення інструментів, які будуть використані для стратегічної атаки на жертву в найбільш сприятливий момент – або, якщо такого моменту ще не існує, вони постійно працюють над його створенням.
Обидва типи атак є небезпечними для системи безпеки компанії, але остання являє собою довготривалу загрозу, яка може тривати набагато довше, ніж тривалість атаки. І хоча це може дати командам ІТ та безпеки паузу, це також дає їм можливість зупинити атаки до того, як вони переростуть у щось набагато гірше, наприклад, витік даних.
Мета полювання на загрози полягає в тому, щоб мисливець став жертвою. Іншими словами, загрози, які проникли на корпоративні пристрої, повинні бути знайдені і усунені командою ІТ-фахівців і фахівців з безпеки, які присвячують час і ресурси збору, зіставленню та аналізу телеметричних даних, щоб виявити будь-які аномалії, які можна ідентифікувати, щоб успішно відстежити і пом’якшити ці приховані загрози в рамках плану глибоко інтегрованої системи безпеки.
Команди, що займаються полюванням на загрози, можуть бути будь-якого розміру і складатися з професіоналів з усіх сфер ІТ. Хоча це не рідкість, коли члени команди є експертами в галузі науки про дані, програмування або досвідченими співробітниками служби безпеки, зміни в інструментах кібербезпеки призвели до того, що навіть невеликі команди без великого досвіду або знань можуть виконувати завдання з полювання на загрози, щоб зменшити ризик невідомих загроз, які причаїлися в інфраструктурі вашої організації.
Після створення власної команди мисливців за загрозами, ось деякі з завдань, які вони можуть виконувати для досягнення своєї мети:
- Постійний моніторинг у режимі реального часу та перевірка стану пристроїв з актуальною інформацією про стан кінцевих точок
- Використання передового машинного навчання (ML) і механізмів розвідки загроз, щоб допомогти командам у виявленні та усуненні загроз шляхом аналізу великих і складних обсягів даних
- Трансляція журналів кінцевих точок до рішення SIEM для отримання детальних звітів, які надають централізовану інформацію про загрози, ризиковані програми, підозрілу поведінку та системні процеси.
- Стандартизуйте безпеку пристроїв і мережі, створюючи базові рівні. Це забезпечує відповідність вимогам, узгоджуючи їх з системами безпеки, такими як MITRE ATT&CK, NIST та CIS
- Поєднання аналітичних, ситуаційних і розвідувальних методологій для досягнення зрілого рівня узгодженості і масштабованості для адаптації до поточних і майбутніх потреб при одночасному підвищенні ефективності
Оригінал статті на сайті Jamf