Trace Id is missing
Преминаване към основното съдържание
Security Insider

CISO Insider: Издание 2

 Жена проверява раздел в промишлен склад

Икономиката на киберпрестъпленията подхранва бърз растеж на сложността на атаките. В това издание ще се информираме от ръководителите на защитата на информацията за нещата, които виждат на предна линия.

Писмо от Роб

Добре дошли във второто издание на CISO Insider. Аз съм Роб Лефърс, ръководя инженерния екип на защитниците и пазителите на Microsoft 365. В Microsoft Security непрекъснато слушаме и се учим от нашите клиенти, докато те навигират все по-сложния пейзаж на защитата. Проектирахме CISO Insider като средство, което споделя препоръки, които събрахме от вашите колеги и от нашето собствено проучване на отрасъла. В това второ издание продължаваме с уязвимостите, които показахме в първото издание, като разглеждаме отблизо киберизнудването и практиките, които ръководителите на защитата използват, за да задържат такива странични атаки с минимални нарушения на бизнеса и екипа за защита.

В Издание 1 обсъдихме трите най-важни въпроса за CISO: адаптирането към развиващите се тенденции на заплахите в хибридна среда с множество облаци; управлението на заплахите за веригите за доставка; и справянето с липсата кадри в защитата. В това издание ще разгледаме отблизо тази перфектна буря от фактори на киберриска и ще установим как организациите развиват тактиките си, за да обезвредят покачващите се заплахи. Първо ще разгледаме променящия се рисков профил на рансъмуера и най-добрите практики, които помагат за предотвратяването на тези и други пробиви, които се разпространяват странично през мрежата. След това ще видим два ключови ресурса, които са особено важни не само за предотвратяването на пробив, но и за бързата реакция в тези първи критични моменти – разширено откриване и реакция (XDR) и автоматизация. И двата помагат за справянето с уязвимостите, които разгледахме в Издание 1: разширените граници на защитата и самоличността на днешните мрежи, разпръснати в хибридния начин на работа и екосистемите на доставчиците, и недостигът на човешки ресурси за наблюдение и отговор на тези заплахи.

Икономиката на киберпрестъпността дава достъп на обикновените киберпрестъпници до по-добри инструменти и автоматизация. които дават възможност за мащаб и намаляват разходите. Когато се комбинира с икономиката на успешните атаки, рансъмуерът поема бърза траектория (Отчет за дигитална защита на Microsoft, 2021). Атакуващите вдигат залозите, като приемат модел на двойно изнудване, в което жертвата първо е изнудвана за откуп, а след това за вероятно публикуване на нейните откраднати данни. Също виждаме увеличение на атаките, които са насочени към ресурси на оперативната технология, за да нарушат важна инфраструктура. Ръководителите на защитата на информацията са на различно мнение относно кое причинява по-катастрофални разходи за бизнеса – прекъсването на бизнеса или разкриването на данни – в зависимост от отрасъла им и нивото им на подготовка. И в двата случая подготовката е ключът към управлението на риска и на двата фронта. В допълнение към тактиките за смекчаване успешните предпазни усилия, като например по-силна защита на крайни точки, защита на самоличността и шифроване, са изключително важни, имайки предвид честотата и нивото на сериозност на тези атаки.

Ръководителите на защитата на информацията мислят по-стратегически за начините, по които да разрешат рисковете от рансъмуер.

Атакуващите с рансъмуер се насочват към вашите най-ценни активи, където усещат, че ще извлекат най-много пари от вас, като това може да е най-разрушителното или най-ценното, ако се държи като залог, или най-чувствителното, ако е изпуснато.

Отрасълът е важна детерминанта за рисковия профил на организацията – докато производствените ръководители смятат прекъсванията в бизнеса за най-сериозните притеснения, ръководителите на защитата на информацията във финансовите услуги и продажбите на дребно приоритизират защитата на чувствителната информация за идентифициране на лица; в същото време здравните организации са еднакво уязвими и на двата фронта. В отговор ръководителите на защита агресивно изместват своя рисков профил от загубата на данни и разкриването чрез затвърдяване на своите периметри, архивиране на важни данни, излишни системи и по-добро шифроване.

Прекъсването на бизнеса сега е във фокуса на много ръководители. Бизнесът понася разходи, дори ако прекъсването е бързо. Наскоро един ръководител на защитата на информацията ми каза, че оперативно рансъмуерът не е по-различен от голямо прекъсване на електрозахранването. Докато една адекватна резервна система може бързо да възстанови електрозахранването, все още има принудително спиране, което прекъсва бизнеса. Друг ръководител на защитата на информацията споменава, че обмислят как прекъсването може да се разшири отвъд главната им корпоративна мрежа до операционни грижи като проблеми в поточната линия или вторичен ефект на затваряне на ключови доставчици от рансъмуера.

Тактиките за управление на прекъсванията включват излишни системи и сегментиране, за намаляване на принудителното спиране, позволявайки на организацията да прехвърлят трафика към друга част на мрежата, докато засегнатият сегмент се задържа и възстановява. Обаче дори най-добрите резервни планове или процеси за аварийно възстановяване не могат напълно да разрешат заплахата за прекъсването на бизнеса или разкриването на данни. Другата страна на смекчаването е предотвратяването.

За да защитите организацията си от рансъмуер, препоръчваме:

  • Подгответе се за защита и възстановяване. Приемете вътрешна култура на Zero Trust с предполагаем пробив, докато разполагате система от възстановяване на данни, архивиране и защитен достъп. Много лидери на защита вече са предприели решаващи стъпки за смекчаване на влиянието на атака чрез архивни копия и шифроване, които могат да помогнат за защитата срещу загуба и разкриване на данни. Важно е да защитите тези архивни копия от преднамерено изтривана или шифроване от някой атакуващ, като определите защитени папки. С изрепетиран план за непрекъснатост на бизнеса/аварийно възстановяване (BC/DR) на място, екипът може бързо да изключи засегнатите системи и да прекъсне напредъка на атаката, възстановявайки операциите с минимално принудително спиране. Zero Trust и защитения достъп помагат на организациите да се защитят и възстановят, като изолират атаката и по този начин затруднят атакуващите да се придвижват странично в мрежата.
  •  Защитете самоличността от компрометиране. Намалете възможността за кражба на идентификационни данни и странично движение с внедряване на стратегия за привилегирован достъп. Важна стъпка в защитата срещу рансъмуер е пълната проверка на идентификационните данни в мрежата на вашата организация. Привилегированите идентификационни данни са основополагащи за всички останали защити – атакуващ, който контролира вашите привилегировани акаунти, може да подкопае всички други защити. Стратегията, препоръчана от Microsoft, е постепенното изграждане на система „затворен цикъл“ за привилегирования достъп, която гарантира че само надеждни, „чисти“ устройства, акаунт и междинни системи могат да се използват за привилегирован достъп до чувствителни бизнес системи. Стратегията, препоръчана от Microsoft, е постепенното изграждане на система „затворен цикъл“ за привилегирования достъп, която гарантира че само надеждни, „чисти“ устройства, акаунт и междинни системи могат да се използват за привилегирован достъп до чувствителни бизнес системи.
  •  Предотвратяване, откриване и отговор на заплахи. Помогнете за защитата срещу заплахи във всички работни натоварвания, като използвате всеобхватни, интегрирани възможности за откриване и отговор на заплахи. Решенията за изолирани проблеми често завършват с предпазни празнини и забавят отриването и отговора на дейности, предхождащи откупа. Microsoft предлага интегрирани SIEM и XDR , за да предостави решение за цялостна защита от заплахи, която предоставя най-добрите в класа предпазване, откриване и реакция в цялото ви дигитално имущество, разположено на няколко платформи и с множество облаци.

Тези три най-добри практики се обединяват, за да формират стратегия за цялостна защита с интегрирани данни, самоличност и управление на мрежата, основано на подхода Zero Trust. За много организации внедряването на Zero Trust изисква по-широка защитна трансформация. Докато повечето ръководители на защита преминават към Zero Trust, някои изразяват притеснение, че сегментираната среда може да наруши продуктивността на работниците или на защитните екипи твърде много, за да си струва твърде бързото преместване към силно сегментиране.

Докато всяка организация има свои собствени изисквания, около които трябва да работи, искам да отбележа, че е възможно да получите най-доброто от двата свята – достъп и защита. Не е нужно сегментирането да предизвиква нарушения. Виждаме тази полза най-вече когато организациите комбинират управлението на идентичност с усилия за трансформация на защитата като внедряване на удостоверяване без парола, така че потребителите не трябва да управляват няколко прекъсващи влизания. Брет Арсену, ръководител на защитата на информацията в Microsoft, обяснява как удостоверяването без парола улеснява защитата: „Защитаването на устройствата е важно, но не е достатъчно. Също трябва да се фокусираме върху защитата на личността. Можем да подобрим средата и защитата ви, като ви позволим да станете паролата.“ Тъй като откраднатите идентификационни данни са входната точка за повечето атаки – например над 80% от пробивите в уеб приложенията се дължат на откраднати идентификационни данни според Отчета от разследването на пробива в данните (DBIR) на Verizon за 2022 г. – удостоверяването без парола също помага да се затвори тази важна празнина в защитата.

„Защитаването на устройствата е важно, но не е достатъчно. Също трябва да се фокусираме върху защитата на личността. Можем да подобрим средата и защитата ви, като ви позволим да станете паролата.“
– Брет Арсену, ръководител на защитата на информацията в Microsoft

Цялостният подход към рансъмуера изисква много добри инструменти

Много от ръководителите на защитата на информацията, с които говоря, предприемат подход „палитра“, за да атакуват предпазването и откриването, използвайки слоеве от решения на доставчици, които покриват тестване за уязвимости, тестване на периметър, автоматизирано наблюдение, защита на крайна точка, защита на самоличността и т.н. За някои това е умишлен излишък, надявайки се, че пластовият подход ще покрие всички празнини – като купчини швейцарско сирене, с надеждата, че дупките няма да се изравнят.

Опитът ни показва, че това разнообразие може да усложни усилията за лечение, потенциално създавайки по-голям риск за разкриване. Както отбелязва един ръководител на защитата на информацията, недостатъкът на събирането на няколко решения е липсата на видимост, дължаща се на фрагментация: „Имам подход с най-добрия софтуер, който сам по себе си представлява определено предизвикателство, защото тогава липсва прозрение в общия риск, защото имате тези заплахи за независимите конзоли, които управлявате, а нямате този общ изглед към това, което се случва на вашето място.“ (Healthcare, 1,100 служители) С атакуващите, които плетат сложна мрежа, която се простира в множество различни решения, може да е трудно да получите пълна картина на етапите на атака, да идентифицирате степента на компрометиране и напълно да изкорените всички полезни обеми на злонамерения софтуер. Спирането на атака в ход изисква способността да наблюдавате множество вектори, за да откриете, спрете, задържите/излекувате атаките в реално време.

Крайният резултат

Едно цялостно, интегрирано решение ви помага да управлявате уязвимостите, така че да можете да намалите повърхността на атаката и да различите важните сигнали от шума. Тази простота е важна за организациите, които изпитват трудности с различаването на истинска заплаха от постоянния поток от известявания и фалшиви положителни.

Помощ за защитата срещу рансъмуер и други сложни атаки с XDR

Много ръководители на защитата се обръщат към разширеното откриване и реакция (XDR) за тази удобна позиция за различни платформи. XDR помага за координирането на сигнали в цялата екосистема – не само в крайни точки, – за да улесни по-бързото откриване и реагиране на сложни заплахи.

XDR работи като откриване и реагиране в крайни точки (EDR), но покрива по-голяма повърхност, разширявайки откриването на заплахи за защитата и отговора на инциденти в цялата дигитална екосистема – включително самоличности, инфраструктура, приложения, данни, мрежи, облаци и т.н. Този експанзивен обхват е много важен, имайки предвид сложността на модерните атаки, които се възползват от днешните сложни, разпръснати среди, за да се движат странично в домейните. Атаките все по-често продължават в нелинеен начин, придвижвайки се странично през различни облаци, имейл, SaaS приложения и т.н.

XDR може да ви помогне да обедините данните от всичките ви разпръснати системи, така че да можете да виждате целия инцидент от край до край. Точковите решения може да затруднят тази цялостна видимост, защото показват само част от атаката и разчитат на често пренатоварен екип по защита да съпостави ръчно множество сигнали за заплаха от различни портали. В крайна сметка това може да направи пълното лечение на заплаха да отнеме много време – а в някои случаи дори невъзможно

Направете скока от EDR към XDR

Обещанието за XDR остава неосъществено от мнозинството. Много от ръководителите на защитата на информацията, с които говорим, са внедрили мощна начална точка в EDR. EDR е доказан актив: виждали сме, че текущите потребители на откриването и реагирането в крайните точки имат характеристика за по-бързо откриване и спиране на рансъмуер.

Обаче, тъй като XDR е еволюция на EDR, някои ръководители на защитата на информацията остават скептични относно ползата на XDR. XDR просто EDR с прикрепени решения за точки ли е? Трябва ли да използвам изцяло отделно решение? Или EDR накрая ще предложи същите възможности? Текущият пазар за XDR решения добавя още повече объркване, тъй като търговците се надпреварват да добавят оферти за XDR към продуктовите портфолиа. Някои търговци разширяват инструмента за EDR, за да внедрят допълнителни данни за заплахи, докато други са по-фокусирани върху изграждането на специализирани платформи за XDR. Последните са изцяло създадени да доставят вградена интеграция и възможност, центрирани около нуждите на анализатора на защитата, оставяйки най-малко празнини за вашия екип, които да запълните ръчно.

Крайният резултат

XDR е толкова наложително в днешната среда за защита заради покритието му и скоростта, с която открива и задържа заплахи. Докато рансъмуерът и други злонамерени атаки стават все по-чести (един интервюиран заяви, че организацията му е атакувана средно *ежедневно*), ръководителите на защитата виждат автоматизацията като важен инструмент, предлагащ наблюдение 24/7 и реакция почти в реално време.

Използвайте автоматизация, за да повишите влиянието на екипа ви

Изправени пред недостига на кадри за защита и нуждата от бързо реагиране, за да задържим заплахите, ние окуражаваме ръководителите да използват автоматизация, която да им помогне да освободят хората си, за да могат да се фокусират върху защитата срещу най-лошите заплахи, вместо да вършат ежедневни задачи като нулиране на пароли. Интересно е, че много от ръководителите на защита, с които говорих, споменават, че все още не се възползват изцяло от предимството на автоматизираните възможности. В някои случаи ръководителите на защита не осъзнават напълно възможността; други се колебаят да приемат автоматизацията или се страхуват от загуба на контрол, поява на неточности или жертване на видимостта на заплахите. Последното е много основателно притеснение. Обаче ние виждаме, че тези, които успешно са приели автоматизацията, постигат точно обратното – повече контрол, по-малко фалшиви положителни, по-малко шум и повече прозрения, водещо до действия – с разполагане на автоматизация до екипа за защита, за да напътства и насочва усилията на екипа.

Автоматизацията покрива редица възможности – от основни автоматизирани административни задачи до интелигентно оценяване на риска чрез активирано машинно обучение. Повечето ръководители на защитата на информацията съобщават, че приемат първото от споменатите, задействана от събитие или основана на правила автоматизация, но по-малко се възползват вградения изкуствен интелект или от възможностите на машинното обучение, които дават възможност за основани на риска решения за достъп в реално време. Със сигурност автоматизирането на рутинните задачи помага да освободите екипа по защита, за да се фокусира върху по-стратегическото мислене, което хората правят най-добре. Но точно в тази стратегическа област – в приоритизирането на отговорите на инциденти например – автоматизацията има най-много потенциал да даде възможност на екипа по защита като поглъщащ данни, сравняващ модели, интелигентен партньор. Например ИИ и автоматизацията са умели в съпоставянето на сигнали на защитата, за да поддържат всеобхватно откриване и реакция на пробив. Около половината от специалистите в сферата на сигурността, които участваха в проучването и, казват, че трябва да съпоставят сигналите ръчно.1   Това отнема ужасно много време и прави почти невъзможно бързото реагиране за задържане на атака. С правилното прилагане на автоматизацията – като съпоставянето на сигнали на защитата – атаките често могат да бъдат открити в почти реално време.

„Нуждаем се от ИИ, защото имаме малка печалба и не можем да наемем твърде много хора.“ 
– Ресторант/туризъм, 6,000 служители

Открихме, че много екипи по защита не използват достатъчно автоматизацията, която е вградена в съществуващите решения, които те вече използват. В много случаи прилагането на автоматизация е толкова лесно (и силно въздействащо), колкото конфигурирането на налични функции като заместване на правила за достъп с фиксирани правила с правила за условен достъп, базиран на риска, създаване на тактически наръчник за реакция и т.н.

Ръководителите на защитата на информацията, които избират да се откажат от възможностите на автоматизацията, често правят така поради недоверие, позовавайки се на притеснението, че системата прави непоправими грешки, докато работи без човешки надзор. Някои от потенциалните сценарии включват система, която неуместно изтрива потребителски данни, затруднявайки даден администратор, който се нуждае от достъп до системата, или по-лошо, води до загуба на контрол или видимост върху уязвимост, която е използвана.

„Когато и да опитаме да използвам неща, които са автоматични, понякога се плаша заради това, което презаписвам? От какво се възстановявам? Ами, от това, което накара това действие да се появи“ 
– Финансови услуги, 1,125 служители

Но защитата е баланс между малкото ежедневно неудобство измерено срещу постоянната заплаха от катастрофална атака. Автоматизация има потенциала да служи като ранна предупредителна система за такава атака и нейните неудобства могат да бъдат смекчени или елиминирани. И освен това автоматизацията в най-добрия си вид не работи самостоятелно, а заедно с хора оператори, при което нейният изкуствен интелект може както да информира, така и да бъде проверявана от човешки интелект.

За да осигурим безпроблемно разполагане, добавяме режими само за отчет към нашите решения, за да предложим пробна версия преди пускането. Това позволява на екипа по защита да внедри автоматизацията със свое собствено темпо, настройвайки прецизно правилата за автоматизация и наблюдавайки представянето на инструментите на автоматизацията.

Ръководителите на защитата, които използват автоматизацията най-ефективно, я разполагат заедно с екипите си, за да запълни празнините и да служи като първа линия на защита. Както ми каза един ръководител на защитата на информацията наскоро, почти е невъзможно и възпиращо скъпо да имаш екип по защита, фокусиран навсякъде по всяко време – и дори и да беше, екипите по защита са склонни към текучество. Автоматизацията предоставя слой от постоянна непрекъснатост и последователност, която помага на екипа по защита в области, които изискват тази последователност, като например наблюдение на трафика и система за ранно известяване. Разположена с този поддържащ капацитет, автоматизацията помага за освобождаването на екипа от ръчното преглеждане на регистрационни файлове и системи, и му позволява да е по-проактивен. Автоматизацията не заменя хората – това са инструменти, които дават възможност на хората ви да приоритизират известяванията и да фокусират усилията си там, където са необходими.

Крайният резултат
Най-мощната стратегия за защита комбинира ИИ и автоматизирани инструменти с детайлна бдителност и тактическа реакция на екипа по защита. Отвъд непосредствените ползи от завършването на задачи и предприемането на незабавни действия за задържане на атака, автоматизацията дава възможност на екипа да управлява времето си и да координира ресурсите по-ефективно, така че да може да се фокусира върху дейности за разследване и лечение от по-високо ниво.

цялото цитирано проучване на Microsoft използва независими проучвания на фирми за свързване със специалисти в областта на защитата както за количествени, така и за качествени проучвания, гарантирайки защити на поверителността и аналитична точност. Цитатите и констатациите, включени в този документ, освен ако не е указано друго, са резултат от проучвания на Microsoft.

  1. [1]

    Проучване на Microsoft на ръководителите на зашитата на информацията и специалистите в сферата на сигурността за 2021 г.

Сродни статии

CISO Insider, издание 1

Навигирайте в пейзажа на днешните заплахи с изключителен анализ и препоръки от ръководителите на защита.

Cyber Signals: Проблем 1

Самоличността е новото бойно поле. Получете прозрения за развиващите се киберзаплахи и какви стъпки да предприемете, за да защитите по-добре вашата организация.

Cyber Signals Издание 2: Икономика на изнудването

Научете от експертите на първа линия за развитието на рансъмуера като услуга. От програми и полезен обем до достъп до брокери и съдружници, научете за инструментите, тактиките и целите, които киберпрестъпниците предпочитат, и получете указания, които ще ви помогнат да защитите организацията си.