02.07.2020
Дмитрий Данилов, руководитель коммерческого отдела компании Factor Group
Резюмируя, можно констатировать, что мир изменился, стал более сложным – и в данный момент по антивирусам мы переходим на новый класс решений, расследования все больше будут проводиться «на лету», для противодействия фишингу нужно обучать сотрудников, а антивирусы для дома становятся бесплатными. Давайте не забывать, что полезной информации всегда много, но полезна она только тогда, когда ею пользуются.
Дмитрий Данилов, руководитель коммерческого отдела компании Factor Group
Сегодня небольшие компании часто сталкиваются с теми же угрозами, что и в крупных компаниях, но не имеют средств для дорогостоящих систем противодействия.
Эта проблема усугубляется из-за недостаточности компетенции в области информбезопасности, ведь в небольших компаниях обычно не могут позволить себе содержать высокоуровневых и дорогостоящих специалистов, способных качественно отслеживать инциденты и расследовать их. Именно поэтому в последние годы стал актуален новый класс продуктов – EDR (Endpoint Detection & Response). Лидерами разработок в этом направлении являются такие компании, как Carbon Black, тот же Sophos, SentinelOne, CrowdStrike, Microsoft, Cisco и т.д.
Цепь событий
Решения этого класса позволяют автоматизировать процесс расследования инцидентов и делать их быстро, буквально «на лету». Суть очень проста – сбор определенных данных с конечных точек и серверов, имеющих отношение к безопасности процессов и данных. В случае, если на одном из таких компьютеров обнаруживается вредоносное ПО, то EDR-решение автоматически анализирует имеющийся пласт данных и восстанавливает цепочку событий во времени, визуализируя ее. Такое «древо событий» позволяет быстро понять, с кого из сотрудников начался инцидент, какие ком- пьютеры и системы были задействованы, что именно могло быть дискредитировано. Благодаря работе EDR-системы становятся очевидными вектор атаки и те меры, которые необходимо предпринять для минимизации ущерба.
Привлекательность данного класса решений заключается в большей доступности по цене, чем специализированные решения по расследованию инцидентов и выявлению сложных таргетированных атак. Кроме того, покоряет простота работы с EDR – система реально облегчает процесс расследования. При этом не нужно думать, что такое решение является «панацеей» от всех бед. Информационная безопасность никогда не бывает избыточной.
Также набирает популярность ещё один класс решений, на который рекомендую обратить внимание – противодействие фишинговым атакам, когда через «обычные» с виду письма пытаются заразить компьютеры или «заставить» человека сделать нужные мошенникам действия. По опубликованной компанией Verizon статистике, порядка 80% атак по всему миру на сегодня начинаются с фишинга, и недооценивать этот вектор атак не стоит.
Вам письмо
По нашему опыту работы с конечными заказчиками, есть много показательных историй, когда в компании до 80% сотрудников переходят по тестовым псевдо-фишинговым ссылкам. Но иногда достаточно одного человека, который заражает свой компьютер и открывает злоумышленникам доступ к внутренней инфраструктуре. Если это финансовое учреждение или закрытый объект, то такой инцидент более чем критичен.
Опасность фишинга как вида мошенничества, заключается в том, что каждая новая атака является уникальной, а письма не повторяются, и попытки отлавливать их средствами почтового сервера обычно не приводят к успеху. Здесь нужно готовить сотрудников компаний, чтобы они умели распознавать фишинговые письма по определенным признакам и не открывали вложения, не переходили по сомнительным ссылкам в сеть Интернет. Это большая, серьезная работа. Для ее автоматизации тоже есть готовые решения, в том числе и от лидеров рынка – Symantec, Sophos, Kaspersky Lab.
Эти решения позволяют сделать псевдо-фишинговую рассылку по сотрудникам компании и отследить, кто именно перешел по ссылке или открыл вложение. Такие сотрудники являются «слабым звеном», и им необходимо объяснять, почему нельзя доверять приходящим из «внешнего мира» письмам. В некоторых финансовых организациях это считается настолько важным, что в случаях, когда сотрудник три раза подряд попадается на антифишнговых тестах, его увольняют. Провести аудит внутри компании, кто из сотрудников является «слабым звеном», можно совершенно бесплатно: компания Sophos предоставляет доступ к своему сервису без оплаты на 30 дней.
Эта проблема усугубляется из-за недостаточности компетенции в области информбезопасности, ведь в небольших компаниях обычно не могут позволить себе содержать высокоуровневых и дорогостоящих специалистов, способных качественно отслеживать инциденты и расследовать их. Именно поэтому в последние годы стал актуален новый класс продуктов – EDR (Endpoint Detection & Response). Лидерами разработок в этом направлении являются такие компании, как Carbon Black, тот же Sophos, SentinelOne, CrowdStrike, Microsoft, Cisco и т.д.
Цепь событий
Решения этого класса позволяют автоматизировать процесс расследования инцидентов и делать их быстро, буквально «на лету». Суть очень проста – сбор определенных данных с конечных точек и серверов, имеющих отношение к безопасности процессов и данных. В случае, если на одном из таких компьютеров обнаруживается вредоносное ПО, то EDR-решение автоматически анализирует имеющийся пласт данных и восстанавливает цепочку событий во времени, визуализируя ее. Такое «древо событий» позволяет быстро понять, с кого из сотрудников начался инцидент, какие ком- пьютеры и системы были задействованы, что именно могло быть дискредитировано. Благодаря работе EDR-системы становятся очевидными вектор атаки и те меры, которые необходимо предпринять для минимизации ущерба.
Привлекательность данного класса решений заключается в большей доступности по цене, чем специализированные решения по расследованию инцидентов и выявлению сложных таргетированных атак. Кроме того, покоряет простота работы с EDR – система реально облегчает процесс расследования. При этом не нужно думать, что такое решение является «панацеей» от всех бед. Информационная безопасность никогда не бывает избыточной.
Также набирает популярность ещё один класс решений, на который рекомендую обратить внимание – противодействие фишинговым атакам, когда через «обычные» с виду письма пытаются заразить компьютеры или «заставить» человека сделать нужные мошенникам действия. По опубликованной компанией Verizon статистике, порядка 80% атак по всему миру на сегодня начинаются с фишинга, и недооценивать этот вектор атак не стоит.
Вам письмо
По нашему опыту работы с конечными заказчиками, есть много показательных историй, когда в компании до 80% сотрудников переходят по тестовым псевдо-фишинговым ссылкам. Но иногда достаточно одного человека, который заражает свой компьютер и открывает злоумышленникам доступ к внутренней инфраструктуре. Если это финансовое учреждение или закрытый объект, то такой инцидент более чем критичен.
Опасность фишинга как вида мошенничества, заключается в том, что каждая новая атака является уникальной, а письма не повторяются, и попытки отлавливать их средствами почтового сервера обычно не приводят к успеху. Здесь нужно готовить сотрудников компаний, чтобы они умели распознавать фишинговые письма по определенным признакам и не открывали вложения, не переходили по сомнительным ссылкам в сеть Интернет. Это большая, серьезная работа. Для ее автоматизации тоже есть готовые решения, в том числе и от лидеров рынка – Symantec, Sophos, Kaspersky Lab.
Эти решения позволяют сделать псевдо-фишинговую рассылку по сотрудникам компании и отследить, кто именно перешел по ссылке или открыл вложение. Такие сотрудники являются «слабым звеном», и им необходимо объяснять, почему нельзя доверять приходящим из «внешнего мира» письмам. В некоторых финансовых организациях это считается настолько важным, что в случаях, когда сотрудник три раза подряд попадается на антифишнговых тестах, его увольняют. Провести аудит внутри компании, кто из сотрудников является «слабым звеном», можно совершенно бесплатно: компания Sophos предоставляет доступ к своему сервису без оплаты на 30 дней.
Резюмируя, можно констатировать, что мир изменился, стал более сложным – и в данный момент по антивирусам мы переходим на новый класс решений, расследования все больше будут проводиться «на лету», для противодействия фишингу нужно обучать сотрудников, а антивирусы для дома становятся бесплатными. Давайте не забывать, что полезной информации всегда много, но полезна она только тогда, когда ею пользуются.