21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
4 | 4 | 4 | 6 |
Каждый день компьютеры и смартфоны, на которых мы работаем, рискуют подвергнуться кибератакам. Методы, при помощи которых вредоносные программы похищают деньги и данные компаний, все ухищреннее. Кроме того, появляется все больше неизвестных проблем — вирусов и атак, работу которых трудно прогнозировать. Существуют ли способы защиты? «Да», — говорит Сергей Невструев, эксперт по защите от неизвестных угроз Check Point Software Technologies.
В рамках партнерского проекта Сергей рассказывает о том, как защитить свою компанию от таких кибератак.
— В 2017 мир был потрясен атаками WannaCry и NotPetya, когда после заражения компьютера программный код вируса-червя шифровал почти все хранящиеся на компьютере файлы. За расшифровку предлагалось заплатить выкуп в криптовалюте.
Атаки нанесли многомиллиардный ущерб: так, атака NotPetya вывела из строя треть украинской экономики. Пострадали аэропорт Харькова, Национальный банк Украины, Чернобыльская АЭС и многие другие организации.
С того момента все стали воспринимать кибератаки очень серьезно: заговорили о кибероружии. То есть менялись атаки — и, соответственно, отношение к ним в мире.
В последние пару лет мы не видели масштабных атак, которые «положили» бы экономику какой-либо страны. Но мы видели множество атак, направленных на конкретные компании. Злоумышленники изменили тактику: вместо того, чтобы поражать массово всех, они стали разрабатывать целенаправленные нападения на выбранные организации. Они стали более сложными, часто длительными, многостадийными.
Например, если раньше заражение начиналось с одного письма на электронную почту, то сейчас злоумышленники могут, например, начать атаку на мобильные телефоны: чтобы заставить пользователя скачать вредоносное приложение, получить логин и пароль от корпоративной почты. А потом — дальше развивать свою атаку. Другими словами, в атаке будет задействовано несколько устройств или сервисов.
Важный переломный момент в развитии киберугроз — появление угроз нулевого дня.
Угрозы нулевого дня направлены на неустраненные уязвимости ИТ-систем. Это вредоносные разработки, о которых не знают, против которых еще не созданы механизмы защиты.
Хакеры получили в свое распоряжение большое количество инструментов, которые позволяют модифицировать атаку на лету. Фактически, сейчас они могут разослать тысячи писем с уникальным вредоносным вложением в каждом письме. И таким образом сигнатурные методы защиты стали малоэффективными: создав защиту от одного вида угроз, вы не сможете заблокировать оставшиеся, так как они будут отличаться.
Угрозы нулевого дня направлены на атаку так называемого периметра корпоративной сети (компьютерную сеть компании и всех ее устройств, которые подключены к внешним (общедоступным) сетям и интернету, сервисам. — Прим. «Про бизнес»).
Уже сейчас против таких вредоносов найден инструмент — динамический анализ. Его принято называть песочницей.
Песочница позволяет открыть новый подозрительный файл в безопасной среде и посмотреть, как он будет себя вести, к каким сервисам будет обращаться, какие изменения в операционной системе будут происходить. Наблюдая за поведением операционной системы, можно с уверенностью сказать, безопасен этот файл или нет.
Как только появились первые песочницы, злоумышленники сразу стали думать, как можно их обойти. Способов существует множество. Например:
Что делать в таких ситуациях? Надо было найти решение, которое усложнит хакерам обход защиты и при этом не будет замедлять бизнес-процессы. В 2015 году Check Point выпустила решение SandBlast Network, которое обеспечивает надежное обнаружение вредоносов, даже самых скрытных. Эта песочница хорошо зарекомендовала себя на рынке.
В тестe Breach Prevention System Test независимой лаборатории NSS Labs решение, состоящее из шлюза Check Point и SandBlast Network, заблокировало 100% атак.Вообще без ложных срабатываний, показав лучший результат в тесте.
После того как решения, связанные с созданием шлюза с песочницей, смогли надежно блокировать угрозы на уровне периметра в трафике, возникла новая проблема: «размывается» и пропадает сам периметр. То есть сотрудники берут ноутбуки, подключенные в офисе к защищенной корпоративной сети, — и работают в кафе, в транспорте, дома. В общем, там, где им удобно, и пандемия лишь ускорила этот тренд.
Исходя из таких реалий, требуется изменить сам подход к защите — вместо того, чтобы создавать какие-то решения или защитные устройства — условные бутылочные горлышки, через которые нужно фильтровать весь входящий и исходящий трафик, который мы получаем, должны защищать сами конечные устройства и данные на них.
Что такое конечные устройства? Поговорим подробнее о:
Мы в Check Point верим, что нет одной волшебной технологии, которая защитит от всего: хорошая защита — это система, «оркестр» из проверенных технологий, работающих вместе. При защите рабочих станций мы исходим из необходимости остановить активность как можно раньше, а лучше — вообще ее предотвратить.
Например, у нас есть технологии, которые позволяют сократить площадь атаки: шифрование диска, VPN, Application Control (контроль уязвимых приложений). Другими словами, эти решения позволяют сделать так, что машина становится неинтересной злоумышленнику, он больше не видит ее как жертву.
Если атака началась и злоумышленник, к примеру, отправляет письма с вредоносными документами, есть несколько технологий, которые позволяют полностью предотвратить атаку до тех пор, пока вредоносный файл не попал на рабочую станцию. Антивирус быстро заблокирует известные вирусы, и вдобавок такое решение Next Generation Antivirus позволит заблокировать новые неизвестные вредоносы, но не по так называемой статичной сигнатуре, а по большому набору разных статических параметров. Их количество огромно — тысячи. Поэтому для их выявления активно используются технологии машинного обучения.
Threat Emulation (эмуляция) перехватит подозрительный файл и отправит его в песочницу. А с помощью Threat Extraction пользователю автоматически предоставят очищенную безопасную копию этого файла, чтобы не вызывать задержек в доставке.
Но что делать, если в атаке не присутствует файл с вредоносной программой? Сейчас набирают популярность так называемые бестелесные атаки, когда файл вообще отсутствует, а все, что нужно, злоумышленник создает динамически в памяти. В этом случае даже Next Generation Antivirus не поможет и нужно использовать другие технологии, которые могут блокировать атаки по поведению.
Решение есть у нашей компании: у Check Point SandBlast Agent есть большое количество технологий, движков, которые позволяют блокировать по поведению, например:
- Anti-Exploit (обнаруживает взлом приложений)
- Anti-Evasion (обнаруживает попытки замаскировать активность)
- Anti-Mimikatz (против сбора паролей)
- Anti-Ransomware (борется с вымогателями) и несколько других.
- Движок поведенческого анализа, Behavioral Guard, постоянно анализирует поведение операционной системы и сохраняет данные о событиях локально на жесткий диск. В случае обнаружения подозрительной активности мы можем заблокировать ее и, используя накопленные данные о системе (Behavioral Guard), «откатить» атаку до самого ее начала, то есть понять, с чего атака началась, понять ее точку входа.
Более того, мы можем полностью восстановить зашифрованные или поврежденные файлы.
Используя накопленные данные о поведении системы, мы можем восстановить всю цепочку атаки и расследовать инцидент. Будет видно, какую брешь в обороне рабочей станции использовал злоумышленник, с чего атака началась, какими он пользовался инструментами и какими методами. Это очень важный этап, потому что он позволяет предотвратить следующую атаку.
SandBlast Agent защищает сейчас тысячи заказчиков по всему миру и миллионы рабочих станций, и никто из них не пострадал от нашумевших атак, никто не понес существенного ущерба. Подход многоуровневой защиты в режиме предотвращения проверен на практике и доказал свою эффективность. В последнем актуальном тесте NSS Labs SandBlast Agent снова продемонстрировал максимальную эффективность защиты среди других вендоров и заблокировал 100% атак как в почте, так и в вебе.
Есть компании, которые разрешают своим сотрудникам работать со смартфона: читать корпоративную почту и так далее. Но с какого устройства будет работать сотрудник? Часто информация на смартфоне гораздо более ценная, но с точки зрения безопасности пользователь куда более небрежен со своим телефоном, чем с рабочими станциями. Злоумышленники это прекрасно понимают и активно этим пользуются. Вот несколько примеров:
1. Что такое современные угрозы для смартфонов? Прежде всего, вредоносные приложения. Их огромное количество, они встречаются как в неофициальных магазинах приложений, так и в Google Play Store и в Apple App Store (хотя и редко).
2. Социальная инженерия тоже работает очень хорошо: мы видим много атак на сервисы видеоконференций. Люди сначала скачивают бесплатные сервисы видеоконференций (Zoom, например), но им нужны платные опции. Они начинают их искать и находят: злоумышленники предоставляют взломанные версии этих программ, но кроме желанных опций в них есть вредоносная нагрузка, которая позволяет злоумышленнику начинать атаку. Таким образом, пользователь получает бесплатно желаемую программу, но при этом его телефон заражен и начинает собирать данные.
Еще один пример: был случай, когда телефон сотрудника был произведен малоизвестным брендом. И заражен шпионским ПО еще до продажи. То есть пользователь в магазине купил дешевый телефон, установил все необходимые приложения, начал работать, а в это время его телефон с уже предустановленной вредоносной программой собирал данные.
Что делать для защиты данных со смартфона? В решениях для защиты мобильных телефонов есть мощный движок, который может отследить и фишинг, и зловредные сайты, и вредоносные приложения. Например, наша компания может на самом устройстве, не перенаправляя никуда трафик:
1. Анализировать контент.
2. Обнаруживать, что происходит в части сетевых соединений.
3. Замечать вредоносную активность и надежно ее блокировать.
Если мы говорим о защите личного устройства пользователя (предположим, о смартфоне), здесь есть некий концептуальный конфликт: с одной стороны, если телефон используется для корпоративных целей, то нужно его контролировать. С другой стороны, мы не можем себе позволить контролировать всю пользовательскую активность. Никто из пользователей не оценит, если незнакомый системный администратор получит доступ к его сообщениям или фотографиям.
Что с этим делать? Разработано достаточно много подходов. Например, можно реализовать на телефоне пользователя такой условный контейнер — у нас это решение называется Check Point Capsule. Корпоративные данные хранятся там, и если пользователь, например, покидает компанию, ИБ-отдел может просто удалить этот контейнер. Пользовательские данные при этом не страдают — к ним нет доступа.
При этом сам контейнер не защищает от киберугроз — если телефон скомпрометирован, злоумышленник в том числе получает и доступ к этому контейнеру. Ведь решения по кибербезопасности не могут ограничивать поведение пользователя: какие приложения пользователь ставит на свой собственный смартфон. В этом случае можно использовать и другие решения. Например, SandBlast Mobile — вся защита, которая требует доступа к трафику, происходит локально на устройстве. С одной стороны, программа получает доступ к трафику пользователя, но данные, куда ходил пользователь, никуда не передаются.
Несмотря на разнообразие векторов атак, способов, размытие периметра, защититься от новых угроз можно. Мы в Check Point предлагаем и комплексную архитектуру безопасности — Infinity.
Это набор разных наших продуктов, которые защищают от новых и будущих угроз и упакованы в коммерческое предложение. Компания платит не за технологию, устройство или продукт, а за одного пользователя от организации. В рамках заданного бюджета компания получает доступ ко всем технологиям Check Point, которые существуют на сегодняшний момент.
21 ноября
«Создать успешное агентство — как выиграть в казино», сооснователь WakeApp Эдуард Лебедев
19 ноября
Особое признание: Betera с двумя наградами престижной премии ADMA
19 ноября
Республиканский DemoDay – победители «Стартап-марафона» определятся в ближайшее время
19 ноября
3Х-кратный рост мясоперерабатывающего предприятия благодаря внедрению «1С:ERP Управление предприятием 2» компанией Академ и К
19 ноября
Бесплатные БелВЭБ-Кассы от Банка БелВЭБ!
18 ноября
Специальная партия SERES | AITO M5 уже в Минске: ваш рациональный выбор здесь и сейчас!
18 ноября
Международный форум ЭДО в Москве 2024: Взгляд на будущее электронного документооборота
18 ноября
Вторая жизнь рекламных баннеров: компания МТС презентовала уникальный мерч