В условиях всё более изощренных киберугроз многие организации становятся мишенями для таргетированных атак. Чтобы понять, как лучше защититься от таких инцидентов, мы поговорили с ведущим экспертом по кибербезопасности в Noventiq Kazakhstan.

С чем сталкиваются компании при таргетированных кибератаках?

Таргетированные атаки отличаются от массовых тем, что нацелены на конкретную организацию. Злоумышленники тщательно изучают свою цель, выявляя уязвимости, сочетающие технические недостатки и социальные манипуляции. Например, тщательно продуманное фишинговое письмо может содержать вредоносное вложение, рассчитанное на доверчивость конкретного сотрудника. После открытия этого вложения начинается цифровое вторжение.

Не менее распространенным способом является использование уязвимостей программного обеспечения или веб-сайтов для взлома систем. Такие атаки играют в долгую – действуют незамеченными, выкачивая данные и постепенно усиливая контроль. Обнаружение происходит в тот момент, когда нанесённый ущерб уже достаточно велик и приводит к серьёзным последствиям.

Какие меры помогут обеспечить надёжную защиту бизнеса?

Существует несколько ключевых технологий, которые организации должны внедрить, чтобы снизить риски и усилить защиту от целевых атак:

• Меры по борьбе с DDoS: защита от распределённых атак типа «отказ в обслуживании», которые служат «дымовой завесой» при проведении более важных манёвров.
• Внедрение SIEM: системы управления информацией и событиями в области безопасности выявляют вторжения и аномалии, способствуя раннему обнаружению угроз.
• Интеграция SOAR: оркестровка, автоматизация и реагирование на угрозы безопасности ускоряют реагирование на инциденты, позволяя оперативно устранять угрозы.

Эта троица создаёт устойчивую систему кибербезопасности, позволяющую быстро выявлять и реагировать на целевые атаки и тем самым минимизировать ущерб. Вдобавок, для многоуровневой защиты крупного бизнеса и своевременного предотвращения угроз следует рассмотреть несколько вспомогательных инструментов:

1. Ловушки (Deception) – предполагают создание имитации уязвимых систем для заманивания злоумышленников в ловушки. Поддельные базы данных пользователей или серверы могут оповещать центр управления безопасностью (SOC) о попытках несанкционированного доступа.
2. Системы предотвращения вторжений (IPS) анализируют сетевой трафик на предмет вредоносной активности. Если обнаружены признаки атаки, например эксплойт, IPS блокирует соединение, не давая злоумышленнику нанести ущерб.
3. Системы обнаружения вторжений (IDS) также выявляют подозрительные действия, но в отличие от IPS не блокируют трафик, а лишь оповещают SOC. Это позволяет собрать информацию об атаке.
4. Новое поколение межсетевых экранов (NGFW) анализирует трафик в более глубоком контексте, не ограничиваясь пакетными данными. Например, NGFW может идентифицировать трафик конкретного приложения как вредоносный.
5. Расширенная защита от угроз (ATP) использует технологии машинного обучения для выявления аномальной активности, указывающей на атаку. Например, подбор учетных данных из необычного местоположения.
6. Обнаружение и реагирование на угрозы на конечных точках (EDR) позволяет остановить уже запущенную атаку на устройствах. EDR может заблокировать вредоносный процесс, изолировать зараженный файл и восстановить систему в безопасное состояние.

Объединяя эти возможности, организации создают комплексную многоуровневую защиту. Системы Deception препятствуют продвижению злоумышленников, а IPS, IDS, NGFW, ATP и EDR совместно выявляют и нейтрализуют вредоносную активность.

Дополнительные стратегические меры по усилению информационной безопасности организации:

• Управление доступом (IAM) и привилегиями (PAM) для минимизации последствий компрометации.
• Использование песочниц для безопасного анализа файлов и ссылок на предмет вредоносности.
• Расширенное обнаружение и реагирование (XDR), которое объединяет данные из разных источников для выявления сложных атак.
• Сегментация сети, ограничивающее возможности злоумышленников по периметру.
• Обязательное обучение персонала, которое поможет избежать начального заражения через фишинг.

Используя комплексный подход с этими технологиями, компании значительно усилят свои оборонительные возможности против таргетированных атак, даже если злоумышленники применяют изощренные методы и 0-day эксплойты.

Примеры реальных таргетированных атак на мировые компании:

• Атака на SolarWinds в 2020 году, в результате которой хакеры получили доступ к компьютерным системам более 18 тысяч организаций, включая Министерство обороны США, Министерство внутренней безопасности США и 120 компаний из списка Fortune 500.
• Взлом сети компании Equifax в 2017 году привел к краже личных данных 145 миллионов человек. Хакеры воспользовались уязвимостью в ПО для получения доступа.
• Взлом Kaseya в 2021 году, в результате которого хакеры заразили более 1500 компаний, в том числе 1200 компаний из списка Fortune 500.
• Атака хакерской группы Carbanak на банки по всему миру, в результате которой было украдено более $1 млрд у финансовых организаций.
• Взлом Dropbox в 2012 году, когда было похищено 68 миллионов паролей пользоватelей облачного сервиса.
• Взлом Microsoft Exchange в 2021 году, в результате которого хакеры получили доступ к компьютерным системам более 200 тысяч организаций по всему миру.
• Атака на Twitter в 2020 году с использованием социальной инженерии для получения доступа к внутренним системам и взлома аккаунтов знаменитостей.
• Атака Sony Pictures в 2014 году, в результате которой хакеры украли более 100 ТБ данных, включая конфиденциальные файлы сотрудников, фильмы и телешоу.

Эти и другие инциденты демонстрируют, насколько разрушительными могут быть таргетированные атаки. Внедрение комплексных мер защиты критически важно для противодействия таким угрозам.

Если вы хотите получить консультацию по обеспечению информационной безопасности бизнеса, отправьте нам запрос.