The post has been translated automatically. Original language: Russian
In the face of increasingly sophisticated cyber threats, many organizations are becoming targets for targeted attacks. To understand how best to protect ourselves from such incidents, we spoke with a leading cybersecurity expert at Noventiq Kazakhstan.
What do companies face with targeted cyber attacks?
Targeted attacks differ from mass attacks in that they target a specific organization. Attackers carefully study their target, identifying vulnerabilities that combine technical flaws and social manipulation. For example, an elaborate phishing email may contain a malicious attachment designed to target the credulity of a particular employee. After opening this attachment, the digital invasion begins.
An equally common way is to use software or website vulnerabilities to hack systems. Such attacks play a long game – they act unnoticed, pumping out data and gradually strengthening control. Detection occurs at a time when the damage has already been sufficiently great and leads to serious consequences.
What measures will help to ensure reliable business protection?
There are several key technologies that organizations need to implement in order to reduce risks and strengthen protection against targeted attacks:
- Measures to combat DDoS: protection against distributed denial of service attacks that serve as a "smokescreen" when conducting more important maneuvers.
- Implementation of SIEM: Security information and event management systems detect intrusions and anomalies, contributing to the early detection of threats.
- SOAR integration: Orchestration, automation, and security threat response accelerate incident response, allowing threats to be eliminated quickly.
This trio creates a stable cybersecurity system that allows you to quickly identify and respond to targeted attacks and thereby minimize damage. In addition, for multi-level protection of large businesses and timely threat prevention, several auxiliary tools should be considered:
- Deception – involves creating an imitation of vulnerable systems to lure intruders into traps. Fake user databases or servers can alert the Security Management Center (SOC) about unauthorized access attempts.
- Intrusion Prevention Systems (IPS) they analyze network traffic for malicious activity. If signs of an attack are detected, such as an exploit, IPS blocks the connection, preventing the attacker from causing damage.
- Intrusion Detection Systems (IDS) they also detect suspicious activity, but unlike IPS, they do not block traffic, but only notify the SOC. This allows you to collect information about the attack.
- The new generation of firewalls (NGFW) analyzes traffic in a deeper context, not limited to batch data. For example, NGFW can identify the traffic of a particular application as malicious.
- Advanced Threat Protection (ATP) uses machine learning technologies to identify abnormal activity indicating an attack. For example, selecting credentials from an unusual location.
- Endpoint Threat Detection and Response (EDR) allows you to stop an already launched attack on devices. EDR can block a malicious process, isolate an infected file, and restore the system to a safe state.
By combining these capabilities, organizations create a comprehensive multi-level protection. Deception systems prevent attackers from advancing, and IPS, IDS, NGFW, ATP and EDR jointly detect and neutralize malicious activity.
Additional strategic measures to strengthen the information security of the organization:
- Access Control (IAM) and Privilege Management (PAM) to minimize the consequences of compromise.
- Using sandboxes to safely analyze files and links for malware.
- Advanced Detection and Response (XDR), which combines data from different sources to identify complex attacks.
- Network segmentation, which limits the capabilities of intruders along the perimeter.
- Mandatory staff training, which will help to avoid initial infection through phishing.
Using an integrated approach with these technologies, companies will significantly strengthen their defensive capabilities against targeted attacks, even if attackers use sophisticated methods and 0-day exploits.
Examples of real targeted attacks on global companies:
- The attack on SolarWinds in 2020, as a result of which hackers gained access to the computer systems of more than 18 thousand organizations, including the US Department of Defense, the US Department of Homeland Security and 120 Fortune 500 companies.
- The hacking of the Equifax network in 2017 led to the theft of the personal data of 145 million people. Hackers exploited a vulnerability in the software to gain access.
- The Kaseya hack in 2021, as a result of which hackers infected more than 1,500 companies, including 1,200 Fortune 500 companies.
- The attack by the Carbanak hacker group on banks around the world, as a result of which more than $ 1 billion was stolen from financial organizations.
- The Dropbox hack in 2012, when 68 million passwords of cloud service users were stolen.
- The hacking of Microsoft Exchange in 2021, as a result of which hackers gained access to the computer systems of more than 200 thousand organizations around the world.
- An attack on Twitter in 2020 using social engineering to gain access to internal systems and hack celebrity accounts.
- The Sony Pictures attack in 2014, as a result of which hackers stole more than 100 TB of data, including confidential employee files, movies and TV shows.
These and other incidents demonstrate how devastating targeted attacks can be. The implementation of comprehensive protection measures is critically important to counter such threats.
If you would like to receive advice on ensuring business information security, send us a request.
В условиях всё более изощренных киберугроз многие организации становятся мишенями для таргетированных атак. Чтобы понять, как лучше защититься от таких инцидентов, мы поговорили с ведущим экспертом по кибербезопасности в Noventiq Kazakhstan.
С чем сталкиваются компании при таргетированных кибератаках?
Таргетированные атаки отличаются от массовых тем, что нацелены на конкретную организацию. Злоумышленники тщательно изучают свою цель, выявляя уязвимости, сочетающие технические недостатки и социальные манипуляции. Например, тщательно продуманное фишинговое письмо может содержать вредоносное вложение, рассчитанное на доверчивость конкретного сотрудника. После открытия этого вложения начинается цифровое вторжение.
Не менее распространенным способом является использование уязвимостей программного обеспечения или веб-сайтов для взлома систем. Такие атаки играют в долгую – действуют незамеченными, выкачивая данные и постепенно усиливая контроль. Обнаружение происходит в тот момент, когда нанесённый ущерб уже достаточно велик и приводит к серьёзным последствиям.
Какие меры помогут обеспечить надёжную защиту бизнеса?
Существует несколько ключевых технологий, которые организации должны внедрить, чтобы снизить риски и усилить защиту от целевых атак:
- Меры по борьбе с DDoS: защита от распределённых атак типа «отказ в обслуживании», которые служат «дымовой завесой» при проведении более важных манёвров.
- Внедрение SIEM: системы управления информацией и событиями в области безопасности выявляют вторжения и аномалии, способствуя раннему обнаружению угроз.
- Интеграция SOAR: оркестровка, автоматизация и реагирование на угрозы безопасности ускоряют реагирование на инциденты, позволяя оперативно устранять угрозы.
Эта троица создаёт устойчивую систему кибербезопасности, позволяющую быстро выявлять и реагировать на целевые атаки и тем самым минимизировать ущерб. Вдобавок, для многоуровневой защиты крупного бизнеса и своевременного предотвращения угроз следует рассмотреть несколько вспомогательных инструментов:
- Ловушки (Deception) – предполагают создание имитации уязвимых систем для заманивания злоумышленников в ловушки. Поддельные базы данных пользователей или серверы могут оповещать центр управления безопасностью (SOC) о попытках несанкционированного доступа.
- Системы предотвращения вторжений (IPS) анализируют сетевой трафик на предмет вредоносной активности. Если обнаружены признаки атаки, например эксплойт, IPS блокирует соединение, не давая злоумышленнику нанести ущерб.
- Системы обнаружения вторжений (IDS) также выявляют подозрительные действия, но в отличие от IPS не блокируют трафик, а лишь оповещают SOC. Это позволяет собрать информацию об атаке.
- Новое поколение межсетевых экранов (NGFW) анализирует трафик в более глубоком контексте, не ограничиваясь пакетными данными. Например, NGFW может идентифицировать трафик конкретного приложения как вредоносный.
- Расширенная защита от угроз (ATP) использует технологии машинного обучения для выявления аномальной активности, указывающей на атаку. Например, подбор учетных данных из необычного местоположения.
- Обнаружение и реагирование на угрозы на конечных точках (EDR) позволяет остановить уже запущенную атаку на устройствах. EDR может заблокировать вредоносный процесс, изолировать зараженный файл и восстановить систему в безопасное состояние.
Объединяя эти возможности, организации создают комплексную многоуровневую защиту. Системы Deception препятствуют продвижению злоумышленников, а IPS, IDS, NGFW, ATP и EDR совместно выявляют и нейтрализуют вредоносную активность.
Дополнительные стратегические меры по усилению информационной безопасности организации:
- Управление доступом (IAM) и привилегиями (PAM) для минимизации последствий компрометации.
- Использование песочниц для безопасного анализа файлов и ссылок на предмет вредоносности.
- Расширенное обнаружение и реагирование (XDR), которое объединяет данные из разных источников для выявления сложных атак.
- Сегментация сети, ограничивающее возможности злоумышленников по периметру.
- Обязательное обучение персонала, которое поможет избежать начального заражения через фишинг.
Используя комплексный подход с этими технологиями, компании значительно усилят свои оборонительные возможности против таргетированных атак, даже если злоумышленники применяют изощренные методы и 0-day эксплойты.
Примеры реальных таргетированных атак на мировые компании:
- Атака на SolarWinds в 2020 году, в результате которой хакеры получили доступ к компьютерным системам более 18 тысяч организаций, включая Министерство обороны США, Министерство внутренней безопасности США и 120 компаний из списка Fortune 500.
- Взлом сети компании Equifax в 2017 году привел к краже личных данных 145 миллионов человек. Хакеры воспользовались уязвимостью в ПО для получения доступа.
- Взлом Kaseya в 2021 году, в результате которого хакеры заразили более 1500 компаний, в том числе 1200 компаний из списка Fortune 500.
- Атака хакерской группы Carbanak на банки по всему миру, в результате которой было украдено более $1 млрд у финансовых организаций.
- Взлом Dropbox в 2012 году, когда было похищено 68 миллионов паролей пользоватelей облачного сервиса.
- Взлом Microsoft Exchange в 2021 году, в результате которого хакеры получили доступ к компьютерным системам более 200 тысяч организаций по всему миру.
- Атака на Twitter в 2020 году с использованием социальной инженерии для получения доступа к внутренним системам и взлома аккаунтов знаменитостей.
- Атака Sony Pictures в 2014 году, в результате которой хакеры украли более 100 ТБ данных, включая конфиденциальные файлы сотрудников, фильмы и телешоу.
Эти и другие инциденты демонстрируют, насколько разрушительными могут быть таргетированные атаки. Внедрение комплексных мер защиты критически важно для противодействия таким угрозам.
Если вы хотите получить консультацию по обеспечению информационной безопасности бизнеса, отправьте нам запрос.
Share
