Проактивная защита: как подготовиться к киберугрозам и минимизировать последствия
На правах рекламы
Многие компании сталкивались с такой ситуацией, когда факт кибератаки проявляется только после получения ущерба, в том числе по средствам и репутации. В таком случае потребуется много времени на то, чтобы изучить атаку и устранить ее последствия.
Классическая инфраструктура безопасности состоит из решений, которые реагируют на возникшие угрозы, например антивирус, IPS, песочница. Такой "реактивный" подход демонстрирует успехи на протяжении многих лет, но зачем ждать атаки, если можно подготовиться к ней заранее?
В этом поможет новый "проактивный" подход к безопасности.
В чем суть проактивного подхода?
Проактивный подход помогает исследовать и подготавливаться к самым опасным кибератакам, напрямую не сталкиваясь с ними. Он еще называется "Shift to Left", ведь мы смещаем фокус левее — от момента атаки, к ее планированию.
К элементам проактивного подхода к безопасности можно отнести:
1. Изучение новейших кибератак;
2. Актуализация конфигурации решений безопасности;
3. Threat Hunting.
Но откуда можно узнать о будущих атаках, если они еще не состоялись?
Классические подходы к проактивной защите
Обычно о новейших угрозах можно узнать из новостей и тематических статей, например из CERT-UA (Computer Emergency Response Team of Ukraine), которая кратко описывает каждую новую атаку на Украину и предоставляет соответствующие индикаторы компрометации.
Такой формат получения Threat Intelligence, безусловно, важный и полезный, но не является исчерпывающим.
Например, IoC, которые указывают в статьях, не обновляются с течением времени, что не позволяет отлавливать модифицированные примеры одной и той же угрозы. Также не хватает данных о тактиках и техниках атак по фреймворку MITRE ATT&CK, который существенно упрощает процесс изучения угрозы.
Еще одним вариантом получения информации об угрозах является интеграция с "Threat Intelligence Feeds". Они автоматически насыщают средства защиты (AV, IPS, SIEM и т. д.) новейшими индикаторами компрометации, поддерживая актуальность сигнатурных баз.
Примером таких ресурсов является misp.gov.ua (Malware Information Sharing Platform "Ukrainian Advantage").
Этот способ получения Threat Intelligence уже позволяет защититься от новейших известных угроз, но "голые" IoC не дают никакого контекста.
Например, что вам говорят эти доменные имена в списке IoC?
● gdsfkjlaskd532.onion
● kdowodkve12353.com
● 123igkfklas0or.org
Ничего особенного. А хотелось бы посмотреть какая хакерская группировка стоит за этим IoC, какие страны и отрасли (государственная, банковская и т. д.) она атакует. В конце концов какие дополнительные меры безопасности следует внедрить, чтобы успешно отразить атаки, стоящие за этими доменными именами.
К тому же, важно чтобы информация о каждой атаке анализировалась, сохранялась и распространялась для повышения квалификации сотрудников ИБ по всему миру.
Проактивная защита с Trellix Insights
Trellix (ранее McAfee) объединил оба вышеописанных подхода в единое решение, которому нет аналогов, добавив в него понятный графический интерфейс, разнообразие полезных интеграций и аналитики кибератак. Имя этому решению — Trellix Insights.
Trellix Insights обеспечивает проактивный подход к защите с помощью с аналитики в режиме реального времени. Комплексные разведданые, проанализированные искусственным интеллектом и специалистами, приоритизируют угрозы, которые с большой вероятностью могут коснуться вашей компании. Trellix Insights прогнозирует, как именно угроза повлияет на вашу безопасность и даёт рекомендации, что необходимо сделать, чтобы улучшить вашу безопасность.
Глобальная база данных об угрозах
Всего в базе Insights насчитывается более 2000 атакующих кампаний и 70 хакерских группировок. Информация о них собирается с более чем миллиарда сенсоров по всему миру, а после объединения McAfee с FireEye их стало в разы больше.
Продолжение статьи про все возможности Trellix Insights читайте по ссылке.
