Trace Id is missing
Преминаване към основното съдържание
Security Insider

Основната киберхигиена предотвратява 99% от атаките

Споделяне
Компютър и телефон на синя повърхност

В днешната дигитална ера компаниите все повече разчитат на технологиите и онлайн системите, за да управляват бизнеса си. В резултат на това, спазването на минималните стандарти за киберхигиена е от основно значение за защитата срещу киберзаплахи, намаляването на риска и осигуряването на съществуваща приложимост на бизнеса.

Основната хигиена на защитата все още предпазва от 98% от атаките.1

Графика с крива на киберхигиената, взета от отчета за дигитална защита на Microsoft(MDDR) за 2022 г.

Минималните стандарти, които всяка организация трябва да приеме, са:

  • Изискване на устойчиво на фишинг многофакторно удостоверяване (MFA)
  • Прилагайте принципите на Zero Trust
  • Използвайте модерна защита срещу злонамерен софтуер
  • Поддържайте актуални системи
  • Защитете данните

Искате ли да намалите атаките на вашите акаунти? Включете MFA. Многофакторното удостоверяване, както подсказва името му, изисква два или повече фактора за удостоверяване. Компрометирането на повече от един фактор за удостоверяване е значително предизвикателство за атакуващите, защото научаването (или разбиването) на парола няма де е достатъчно, за да получат достъп до система. С активирано многофакторно удостоверяване можете да предотвратите 99.9% от атаките над вашите акаунти.2

Да направим MFA много по-лесно

Многофакторно удостоверяване – докато допълнителните стъпки са част от името, трябва да опитате да изберете опцията за MFA с най-малко противоречия (като използването на биометрични данни в устройства или фактори, отговарящ на изискванията за FIDO2, като например ключове за защита на Feitan или Yubico) за вашите служители.

Не правете MFA обременително.

Изберете MFA, когато допълнителното удостоверяване може да помогне за защитата на чувствителни данни и критични системи вместо да го прилагате към всяко отделно взаимодействие.

MFA не трябва да представлява предизвикателство за крайния потребител. Използвайте правила за условен достъп, които позволяват активирането на потвърждаване в две стъпки въз основа на откриването на риск, както и транзитно удостоверяване и еднократна идентификация (SSO). По този начин крайните потребители не трябва да преминават през няколко последователни влизания, за да осъществят достъп до некритични споделяния на файлове или календари в корпоративната мрежа, когато устройствата им са в крак с най-новите актуализации на софтуер. Също така потребителите няма да имат 90-дневно нулиране на парола, което значително ще подобри средата им за работа.

Често срещани фишинг атаки

Във фишинг атаката престъпниците използват тактики за социално инженерство или подмамват потребителите да им предоставят идентификационни данни за достъп или да разкрият чувствителна информация. Често срещаните фишинг атаки включват:

Изображение, описващо често срещаните фишинг атаки (с имейли, инжектиране на съдържание, манипулиране на връзки, насочен фишинг и вътрешна уязвимост)

Zero Trust е крайъгълният камък на всеки план за устойчивост, ограничаващ въздействието върху организацията.  Моделът Zero Trust е проактивен, интегриран подход към защита във всички слоеве на дигиталното имущество, който подробно и продължително проверява всяка транзакция; потвърждава достъпа с най-малко привилегии и разчита на информация, разширено откриване и реакция в реално време към заплахите.

Когато приемете подхода на Zero Trust, става възможно да:
  • Поддържате отдалечен и хибриден начин на работа
  • Предотвратите или намалите вредите върху бизнеса от пробив
  • Идентифицирате и защитите чувствителни бизнес данни и самоличности
  • Изградите доверие в положението на защитата и програмите в ръководния ви екип, служителите, партньорите, заинтересованите лица и клиентите
Принципите на Zero Trust са:
  • Не изключвайте вероятността от пробиви  Допуснете, че атакуващите могат и ще атакуват успешно всичко (самоличност, мрежа, устройство, приложение, инфраструктура и т.н.) и планирайте в съответствие. Това означава непрекъснато наблюдение на средата за възможна атака.
  • Изрична проверка Уверете се, че потребителите и устройствата са в добро състояние, преди да позволите достъпа им до ресурси. Защитете активите срещу контрол от атакуващи, като изрично потвърдите факта, че всички решения за доверие и защита използват съответните налични информация и телеметрия.
  • Използване на достъп с най-малко привилегии Ограничете достъпа до потенциално компрометирани активи с „точно навреме“ или „достатъчен достъп“ (JIT/JEA) и правила, базирани на риска, като адаптивното управление на достъпа. Трябва да позволявате само привилегията, която е необходима за достъп до даден ресурс, и нищо повече.

Слоеве на защитата на Zero Trust

Снимка на компютърен екран

Има такова нещо като твърде много защита

Твърде много защита – това е защита, която ежедневния потребител усеща като прекалено ограничителна – може да доведе до същия резултат като липсата на достатъчно защита на първо място – по-голям риск.

Стриктните процедури за защита могат да затруднят хората да вършат работата си. В по-лош случай могат да накарат хората да търсят креативни заобиколни решения в стила на сенчести ИТ, мотивирайки ги да заобикалят защитата напълно – понякога като използват собствените си устройства, имейли и място за съхранение – и да използват системи, които (иронично) са с по-ниска защита и представляват по-голям риск за бизнеса.

Използване на защита срещу злонамерен софтуер с разширеното откриване и реакция. Внедрете софтуер за откриване и автоматично блокиране на атаките и предоставяйте прозрения за операциите по защитата.

Наблюдението на прозренията от системите за откриване на заплахи е от съществено значение, за да можете да реагирате на заплахите навреме.

Най добри практики за автоматизация и оркестрация на защитата

Преместете възможно най-много работа към вашите детектори

Изберете и разположете сензори, които автоматизират, съпоставят и свързват заедно откритията си, преди да ги изпратите на анализатор.

Автоматизация на събирането на известявания

Анализаторът на защитни операции трябва да има всичко необходимо, за да приоритизира и отговори на известяване, без да извършва допълнително събиране на информация, като например запитване към системи, които мога да са офлайн или не, или да събира информация от допълнителни източници като системи за управление на активи или мрежови устройства.

Автоматизация на приоритизирането на известията

Анализите в реално време трябва да се използват за приоритизиране на събития въз основа на каналите за разузнаване за заплахи, информацията за активи и индикаторите за атаки. Анализаторите и отговарящите на инциденти трябва да се фокусират върху известяванията с най-високо ниво на сериозност.

Автоматизация на задачите и процесите

Първо се насочете към обичайните, повтарящите се и отнемащите много време административни процеси и стандартизирайте процедурите за отговор. След като отговорът е стандартизиран, автоматизирайте работния поток на анализаторите на защитни операции, за да премахнете всяка човешка намеса където е възможно, така че да могат да се фокусират върху по-критични задачи.

Непрекъснато подобрение

Наблюдавайте ключовите метрики и настройте сензорите и работните потоци, за да стимулирате растящи промени.

Помогнете за защитата, откриването и реагирането на заплахи

Защита срещу заплахи във всички работни натоварвания чрез използване на всеобхватни възможности за предотвратяване, откриване и реакция с интегрирани възможности за разширено откриване и реакция (XDR) и информация за защита и управление на събития (SIEM).

Отдалечен достъп

Атакуващите често се насочват към решения за отдалечен достъп (RDP, VDI, VPN и т.н.), за да влезнат в дадена среда и да изпълнят съществуващи операции, за да нанесат щети на вътрешни ресурси.
За да предотвратите нахлуването на атакуващи, ще трябва да:
  • Поддържате софтуера и специфичните приложения актуални
  • Наложите проверка Zero Trust на потребители и устройства
  • Конфигурирате защитата за решения за VPN на трети страни
  • Публикувате локални уеб приложения

Софтуер за имейл и сътрудничество

Друга обичайна тактика за влизане в среди е прехвърлянето на злонамерено съдържание с имейл или с инструменти за споделяне на файлове и след това убеждаване на потребителите да го изпълнят.
За да предотвратите нахлуването на атакуващи, ще трябва да:
  • Внедряване на разширена защита на имейл
  • Активирайте правила за намаляване на повърхността на атака, за да блокирате обичайните техники за атака
  • Сканирайте прикачените файлове за заплахи от по-мащабно ниво

Крайни точки

Изложените на интернет крайни точки са предпочитан входен вектор, защото предоставят на активите достъп до активите на дадена организация.
За да предотвратите нахлуването на атакуващи, ще трябва да:
  • Блокирайте неизвестните заплахи с правила за намаляване на повърхността на атака, които се насочват към определени поведения на софтуера,като например стартиране на изпълними файлове и скриптове, които опитват да изтеглят или изпълнят файлове, изпълнение на неясни или по друг начин подозрителни скриптове или поведения на изпълнение, които приложенията обикновено не инициират по време на нормална всекидневна работа.
  • Дръжте софтуера актуализиран и поддържан
  • Изолирайте, изключете или оттеглете несигурните системи и протоколи
  • Блокирайте неочаквания трафик с хоствани защитни стени и мрежови защити

Винаги бъдете бдителни

Използвайте интегрирани XDR и SIEM, за да предоставите висококачествени известявания и да намалите несъгласието и ръчните стъпки по време на реакция.

Подсилете наследените системи

По-старите системи, в които липсват контроли за защита като антивирусен софтуер и решения за откриване и реагиране на крайни точки (EDR), могат да позволят на атакуващите да изпълнят цялата верига на атаката с рансъмуер и ексфилтриране от една система.

Ако не е възможно да конфигурирате защитните инструменти към наследената система, тогава трябва изцяло да изолирате системата физически (чрез защитна стена) или логически (като премахнете припокриването на идентификационни данни с други системи).

Не игнорирайте неперсонализирания злонамерен софтуер

Класическият автоматизиран рансъмуер може да не притежава сложността на набраните от клавиатура атаки, но това не го прави по-малко опасен.

Внимавайте за противници, които дезактивират защитата

Наблюдавайте средата си за противници, които дезактивират защитата (често част от веригата на атака), като изчистване на регистър на събитията – особено регистъра на събитията на защитата и операционните регистрационни файлове на Windows PowerShell – и дезактивирането на защитни инструменти и контроли (свързани с някои групи).

Ако искате да научите повече за използването на модерна защита срещу злонамерен софтуер, разгледайте ресурсите на Microsoft по-долу.

Системите без приложени корекции и остарелите системи са основна причина много организации да станат жертва на атака. Уверете се, че всички системи са актуализирани, включително фърмуера, операционната система и приложенията.

Най-добри практики
  • Уверете се, че устройствата са стабилни чрез прилагане на корекции, промяна на паролите по подразбиране и SSH портове по подразбиране.
  • Намалете повърхността на атака, като елиминирате ненужните интернет връзки и отворени портове, ограничите отдалечения достъп чрез блокиране на портове, отказване на отдалечен достъп и използване на VPN услуги.
  • Използвайте решение за мрежово откриване и реакция (NDR) с оглед на интернет на нещата и оперативната технология (IoT/OT) и решение за информация за защита и управление на събития (SIEM)/организиране на защитата и реакция (SOAR), за да следите устройствата за анормално или неупълномощено поведение, като например комуникация с непознати хостове.
  • Сегментирайте мрежите, за да ограничите способността на атакуващия да се премества странично и да компрометира активи след първоначалното проникване. Устройствата за IoT и OT мрежите трябва да са изолирани от корпоративните ИТ мрежи чрез защитни стени.
  • Уверете се, че ICS протоколите не са разкрити директно в интернет
  • Получете по-задълбочена видимост за устройствата за IoT/OT във вашата мрежа и ги приоритизирайте според риска за предприятието, ако бъдат компрометирани.
  • Използвайте инструменти за сканиране на фърмуера, за да разберете потенциалните слабости в защитата и да работите с доставчиците, за да определите как да намалите рисковете за високорисковите устройства.
  • Положително влияйте върху защитата на устройствата за IoT/OT, като изисквате приемането на най-добрите практики за защитен жизнен цикъл на разработка от вашите доставчици.
  • Избягвайте прехвърлянето на файлове, които съдържат системни дефиниции, през незащитени канали или към несъществени служители.
  • Когато прехвърлянето на тези файлове е неизбежно, не забравяйте да следите дейността в мрежата и да се уверите, че активите са защитени.
  • Защитавайте инженерните станции чрез наблюдение с EDR решения.
  • Проактивно извършвайте отговор на инциденти за OT мрежи.
  • Разполагане на постоянно наблюдение с решения като Microsoft Defender за IoT.
Ако искате да научите повече, разгледайте ресурсите на Microsoft по-долу

Познаването на вашите важни данни, къде се намират и дали са внедрени правилните системи, е от решаващо значение за прилагането на подходящата защита.

Предизвикателствата за защитата на данни включват:
  • Намаляване и управление на риска от потребителски грешки
  • Ръчната класификация на потребителите не е практична в мащаб
  • Данните трябва да са защитени извън мрежата
  • Съответствието и защитата изискват завършена стратегия
  • Спазване на все по строгите изисквания за съответствие
5 стълба на подхода на отбрана в дълбочина за защита на данните
Днешните хибридни работни пространства изискват достъп до данни от множество устройства, приложения и услуги от целия свят. С толкова много платформи и точки за достъп трябва да имате силна защита срещу кражба и изтичане на данни. За днешната среда подходът с отбрана в дълбочина предлага най-добрата защита за укрепване на сигурността на вашите данни. В тази стратегия има пет компонента, всички от които могат да бъдат изпълнени в ред, който е подходящ за уникалните нужди на вашата организация и възможните нормативни изисквания.
  • Идентифициране на пейзажа на данните
    Преди да можете да защитите чувствителните данни, трябва да откриете къде се намират и как се осъществява достъп до тях. Това изисква пълна видимост на целите активи от данни, без значение дали са локални, хибридни или на множество облаци.
  • Защита на чувствителни данни Заедно със създаването на цялостна карта, ще трябва да защитите данните си – както в покой, така и при транзит. Ето тук точното етикетиране и класифициране на данните ви става ефективно, така че да можете да добиете прозрения за начина, по който се осъществява достъп до тях, как се съхраняват споделят. Точното проследяване на данните ще помогне за предпазването им от изтичане и пробиви.
  • Управление на рисковете Дори когато данните ви са съпоставени и етикетирани подходящо, ще трябва да вземете предвид потребителския контекст около данните и дейностите, които могат да завършат като потенциални инциденти със сигурността на данните, като това включва вътрешни заплахи. Най-добрият подход за решаване на вътрешния риск обединява правилните хора, процеси, обучение и инструменти.
  • Предотвратяване на загубата на данни Не забравяйте за неупълномощеното използване на данни – това също е загуба. Ефективното решение за защита срещу загуба на данни трябва да балансира защитата и продуктивността. Много е важно да се уверите, че правилното управление на достъпа е на място и правилата са настроени да предпазват от действия като неправилно записване, съхранение или отпечатване на чувствителни данни.
  • Управление на жизнения цикъл на данните Тъй като управлението на данни се променя към превръщане на бизнес екипите в разпоредители на собствените си данни, за организациите е важно да създадат обединен подход в предприятието. Този тип проактивно управление на жизнения цикъл води до по-добра защита на данните и помага да се уверите, че данните са отговорно достъпни за потребителите, където може да създаде бизнес стойност.
Ако искате да научите повече за защитата на данните, разгледайте ресурсите на Microsoft по-долу.

Въпреки че извършителите на заплахи продължават да се развиват и стават по-вещи, една всеизвестна истина за киберсигурността продължава да се повтаря: Основната хигиена на киберзащитата – активиране на MFA, прилагана не принципи на Zero Trust, поддържане на актуално състояние, използване на модерна защита срещи злонамерен софтуер и защита на данните – предотвратява 98% от атаките.

За да помогнете за защитата срещу киберзаплахи, намаляването на риска и осигуряването на съществуваща жизнеспособност на организацията ви, спазването на минималните стандарти за хигиена на киберсигурността е от основно значение.

Свързани статии

61% увеличение на фишинг атаките. Опознайте модерната повърхност за атака.

За да се справят с все по-сложната повърхност на атака, организациите трябва да разработят всеобхватно положение на защитата. С шест ключови области на повърхността на атака този отчет ще ви покаже как правилното разузнаване за заплахи може да помогне за промяна на полето на игра в полза на защитниците.
Научете повече

Киберпрестъплението като услуга (CaaS) стимулира 38% повишение в измамите с бизнес имейл

Компрометирането на имейл от бизнес клас (BEC) се повишава сега, когато престъпниците могат да скрият източника на атаките си, за да бъдат още по-подли. Научете повече за CaaS и как да защитите организацията си.
Научете повече

Центрирана в облака защита: Как водещите ръководители на защитата на информация затварят пукнатини в покритието

Ръководителите на защитата на информация споделят за променящите се приоритети за защита, докато техните организации преминават към центрирани в облака модели, и за предизвикателствата около пренасянето на целите им дигитални имущества по време на пренасянето.
Научете повече

Следвайте Microsoft Security