Защита от направленных атак
Направленная атака (Advanced Persistent Threats) - продолжительная и целенаправленная кибератака, при которой злоумышленник получает доступ к сети и остается незамеченным в течение длительного периода времени.
Цели атак тщательно отбираются и исследуются. Как правило, это крупные предприятия и государственные учреждения. Направленная атака используется специально для обхода существующих меры безопасности, применяемых в компании. После заражения злоумышленники стараются расширить свое присутствие в сети и отслеживать
Брандмауэр для веб-приложений (WAF), установленный на границе вашей сети, фильтрует трафик к серверам веб-приложений, защищая тем самым одну из наиболее уязвимых поверхностей атаки. Среди прочих функций WAF может помочь в устранении атак на уровне приложений, таких как атаки с использованием RFI и SQL-инъекций, которые обычно используются во время фазы инфильтрации APT.
Внутренние службы мониторинга трафика, такие как сетевые брандмауэры, являются другой переменной этого уравнения. Они могут предоставлять подробный обзор того, как пользователи взаимодействуют в вашей сети, помогая при этом выявлять аномалии внутреннего трафика (например, нерегулярные входы в систему или передача данных необычайно большого объема). Последнее может сигнализировать о том, что происходит APT-атака. Вы также можете контролировать доступ к файловым ресурсам или системным "горячим точкам".
Белые списки приложений и доменов. Белые списки - это способ управления доменами, к которым можно получить доступ из вашей сети, а также приложениями, которые могут быть установлены вашими пользователями. Это еще один полезный метод снижения процента успешности APT-атак путем минимизации доступных поверхностей атак.
Однако эта мера безопасности далека от идеала, так как даже самые доверенные домены могут быть взломаны. Также известно, что вредоносные файлы обычно поступают под видом законного программного обеспечения. Кроме того, более старые версии программных продуктов подвержены риску взлома и использования.
Для эффективного составления белых списков необходимо применять строгие политики обновлений, чтобы гарантировать, что ваши пользователи всегда будут использовать последнюю версию любого приложения, появляющегося в списке.
Контроль доступа. Для нарушителей ваши сотрудники, как правило, представляют собой самое крупное и уязвимое "звено" в периметре вашей системы безопасности. Именно поэтому злоумышленники рассматривают пользователей вашей сети как точку для проникновения в вашу систему защиты, расширяя при этом ее границы в вашем периметре безопасности.
Здесь вероятные цели попадают в одну из следующих трех категорий:
• Небрежные пользователи, игнорирующие политики сетевой безопасности и неосознанно предоставляющие доступ к потенциальным угрозам.
• Вредоносные инсайдеры, которые намеренно злоупотребляют своими пользовательскими учетными данными, чтобы предоставить злоумышленникам доступ.
• Рядовые пользователи, чьи сетевые привилегии доступа скомпрометированы и используются злоумышленниками.
Разработка эффективных средств контроля требует всесторонней проверки всех сотрудников вашей организации - особенно информации, к которой они имеют доступ.
Ключевые точки сетевого доступа должны быть защищены двухфакторной аутентификацией (2FA). Она требует от пользователей использования второй формы проверки при доступе к конфиденциальным областям (обычно это пароль, посылаемый на мобильное устройство пользователя). Это предотвращает перемещение по сети неавторизованных актеров, замаскированных под законных пользователей.
Дополнительные меры. В дополнение к вышеперечисленным мерам, это лучшие меры, которые необходимо принять при защите вашей сети:
• Исправление уязвимостей сетевого программного обеспечения и операционных систем в кратчайшие сроки.
• Шифрование удаленных подключений для предотвращения проникновения злоумышленников.
• Фильтрация входящей электронной почты для предотвращения спама и фишинговых атак, направленных на вашу сеть.
• Немедленная регистрация событий безопасности для улучшения белых списков и других политик безопасности.
Цели атак тщательно отбираются и исследуются. Как правило, это крупные предприятия и государственные учреждения. Направленная атака используется специально для обхода существующих меры безопасности, применяемых в компании. После заражения злоумышленники стараются расширить свое присутствие в сети и отслеживать
конфиденциальные данные. После сбора информации злоумышленники извлекают скомпрометированные данные и устраняют следы своего присутствия, оставляя возможность для повторного проникновения.
Защита от направленных атак требует многоуровневого подхода, объединяющего организационные меры и инструменты контроля доступа, мониторинга и проверки трафика, защиты периметра и поиска аномалий.
Защита от направленных атак требует многоуровневого подхода, объединяющего организационные меры и инструменты контроля доступа, мониторинга и проверки трафика, защиты периметра и поиска аномалий.
Меры по защите от направленных атак:
Мониторинг трафика. Мониторинг входящего и исходящего трафика считается наилучшей практикой для предотвращения угроз. Проверка трафика внутри периметра сети также может помочь предупредить персонал службы безопасности о любом необычном поведении, которое может указывать на вредоносную деятельность.Брандмауэр для веб-приложений (WAF), установленный на границе вашей сети, фильтрует трафик к серверам веб-приложений, защищая тем самым одну из наиболее уязвимых поверхностей атаки. Среди прочих функций WAF может помочь в устранении атак на уровне приложений, таких как атаки с использованием RFI и SQL-инъекций, которые обычно используются во время фазы инфильтрации APT.
Внутренние службы мониторинга трафика, такие как сетевые брандмауэры, являются другой переменной этого уравнения. Они могут предоставлять подробный обзор того, как пользователи взаимодействуют в вашей сети, помогая при этом выявлять аномалии внутреннего трафика (например, нерегулярные входы в систему или передача данных необычайно большого объема). Последнее может сигнализировать о том, что происходит APT-атака. Вы также можете контролировать доступ к файловым ресурсам или системным "горячим точкам".
Белые списки приложений и доменов. Белые списки - это способ управления доменами, к которым можно получить доступ из вашей сети, а также приложениями, которые могут быть установлены вашими пользователями. Это еще один полезный метод снижения процента успешности APT-атак путем минимизации доступных поверхностей атак.
Однако эта мера безопасности далека от идеала, так как даже самые доверенные домены могут быть взломаны. Также известно, что вредоносные файлы обычно поступают под видом законного программного обеспечения. Кроме того, более старые версии программных продуктов подвержены риску взлома и использования.
Для эффективного составления белых списков необходимо применять строгие политики обновлений, чтобы гарантировать, что ваши пользователи всегда будут использовать последнюю версию любого приложения, появляющегося в списке.
Контроль доступа. Для нарушителей ваши сотрудники, как правило, представляют собой самое крупное и уязвимое "звено" в периметре вашей системы безопасности. Именно поэтому злоумышленники рассматривают пользователей вашей сети как точку для проникновения в вашу систему защиты, расширяя при этом ее границы в вашем периметре безопасности.
Здесь вероятные цели попадают в одну из следующих трех категорий:
• Небрежные пользователи, игнорирующие политики сетевой безопасности и неосознанно предоставляющие доступ к потенциальным угрозам.
• Вредоносные инсайдеры, которые намеренно злоупотребляют своими пользовательскими учетными данными, чтобы предоставить злоумышленникам доступ.
• Рядовые пользователи, чьи сетевые привилегии доступа скомпрометированы и используются злоумышленниками.
Разработка эффективных средств контроля требует всесторонней проверки всех сотрудников вашей организации - особенно информации, к которой они имеют доступ.
Ключевые точки сетевого доступа должны быть защищены двухфакторной аутентификацией (2FA). Она требует от пользователей использования второй формы проверки при доступе к конфиденциальным областям (обычно это пароль, посылаемый на мобильное устройство пользователя). Это предотвращает перемещение по сети неавторизованных актеров, замаскированных под законных пользователей.
Дополнительные меры. В дополнение к вышеперечисленным мерам, это лучшие меры, которые необходимо принять при защите вашей сети:
• Исправление уязвимостей сетевого программного обеспечения и операционных систем в кратчайшие сроки.
• Шифрование удаленных подключений для предотвращения проникновения злоумышленников.
• Фильтрация входящей электронной почты для предотвращения спама и фишинговых атак, направленных на вашу сеть.
• Немедленная регистрация событий безопасности для улучшения белых списков и других политик безопасности.
