Проактивний захист: як підготуватися до ймовірних загроз і мінімізувати збитки
На правах реклами
Дуже часто факт кібератаки проявляється, вже коли шкоди заподіяно і потрібно витрачати багато часу, щоб розібратися з наслідками. В таких випадках вони несуть не лише грошові збитки для компанії, а й репутаційні.
Класичний підхід до безпеки — реактивний. Він використовує такі рішення як антивірус, IPS та пісочниця, які реагують лише на активні загрози.
Але навіщо очікувати неминучого, якщо можна підготуватися до ймовірних загроз і скоротити час, потрібний для виявлення, вивчення і знешкодження загрози?
Для цього потрібно побудувати "проактивну" інфраструктуру безпеки.
Що таке проактивний підхід?
Суть проактивного підходу у тому, щоб змістити фокус ліворуч від моменту атаки, до її планування, тому його ще називають "Shift to Left". У такому випадку можна підготуватися до атак будь-якого рівня, уникаючи безпосереднього контакту.
Проактивний підхід до безпеки складається з декількох елементів:
1. Вивчення нових кібератак;
2. Актуалізація зміни рішень безпеки;
3. Threat Hunting.
Як дізнатися про атаки заздалегідь? Класичні підходи
Один із форматів отримання інформації про нові загрози це ресурси, такі як CERT-UA (Computer Emergency Response Team of Ukraine). Тут можна знайти новини й тематичні статті, в яких коротко описують кожну нову атаку на Україну та надають індикатори компрометації.
Формат важливий та корисний, проте не вичерпний. Одна з причин — нестача даних про техніки й тактики атак по фреймворку MITRE ATT&CK, який суттєво спрощує процес вивчення загрози. Статті також зазначають IoC, але їх не оновлюють, тому за цією інформацією відловлювати модифікації однієї і тієї ж загрози вже неможливо.
Також інформацію про загрози можна отримати, інтегрувавши "Threat Intelligence Feeds", наприклад misp.gov.ua (Malware Information Sharing Platform "Ukrainian Advantage"). Такі ресурси автоматично насичують засоби захисту (AV, IPS, SIEM тощо) новітніми індикаторами компрометації, таким чином, підтримуючи актуальність сигнатурних баз.
Вже з таким способом отримання Threat Intelligence можна захиститися від новітніх відомих загроз, проте він не вирішує проблему неінформативних IoC.
Наприклад, ось список доменних імен у списку IoC, які самі собі ніякої особливої інформації не дають:
● gdsfkjlaskd532.onion
● kdowodkve12353.com
● 123igkfklas0or.org
Корисно було би дізнатися яке хакерське угрупування стоїть за ними, які країни та галузі (державна, банківська і т. д.) є ціллю атак. Зрештою, важливо знати, які заходи безпеки могли б допомогти успішно попередити атаки, що стоять за цими доменними іменами.
На додаток, цю інформацію потрібно постійно оновлювати та поширювати між співробітниками ІБ у всьому світі.
Trellix Insights: як рішення допомагає досягти проактивного захисту
Trellix (раніше McAfee) — це унікальне у своєму роді рішення, яке поєднує обидва вищеописані способи отримання Threat Intelligence. Воно має легкий у використанні інтерфейс та безліч інтеграцій.
Trellix Insights забезпечує аналіз кіберзагроз штучним інтелектом і фахівцями в режимі реального часу. Таким чином ви отримуєте комплексні розвіддані, що допомагають пріорітезувати найбільш ймовірні для вашої компанії загрози. Більше того, ви отримаєте прогноз наслідків та рекомендації щодо покращення вашої безпеки.
Глобальна база даних про загрози
Наразі в базі Insights можна знайти інформацію про 70 хакерських організацій та понад 2000 атакуючих кампаній. Trellix збирає цю информацію з понад мільярда сенсорів, яких стало в рази більше після об'єднання McAfee з FireEye.
Продовження статті про всі можливості Trellix Insights читайте за посиланням.
