Vēlreiz līdz pārkāpumam: kas nepieciešams, lai uzveiktu kiberuzbrucējus

Sadarbībā ar Hewlett Packard Enterprise un FireEye





Iedomājieties šo: ir vakars pirms lieliem svētkiem. Ģimene un draugi ierodas jūsu mājās, lai baudītu relaksējošu maltīti un laiku ārpus biroja.

Bet ne visi ņem pārtraukumu.



Nakts vidū zvana telefons. Darbā ir ārkārtas situācija — tīkla pārkāpums. Esmu saņēmis zvanus visnepiemērotākajā laikā, saka Māršals Heilmens, FireEye uzņēmuma kiberdrošības uzņēmuma Mandiant viceprezidents un izpilddirektors, reaģēšanas uz incidentiem un sarkanās komandas operācijām. 2014. gadā man piezvanīja tieši pirms Pateicības dienas. Man bija jādodas palīgā uzņēmumam, kuru bija skāris progresīvs uzbrucējs, un tas bija nopietni, atceras Heilmans, piebilstot, ka viņa komanda 2015. gada Ziemassvētku vakarā cīnījās ar vēl vienu pārkāpumu. Komandas locekļiem ir arī daudz stāstu par, piemēram, par to. , būdams tik aizņemts brīvdienās, ka darbinieki strādāja, vienlaikus mēģinot sagraut tītaru, Heilmans saka: Hakeri ir stratēģiski brīvdienās. Tajos laikos viņi kompromitē organizācijas, jo tad viņi sagaida, ka aizsardzība būs vāja.

Taču, kā Heilmans pārāk labi zina, hakeriem nav jāgaida līdz brīvdienām, lai notvertu savus mērķus. Jebkura lieluma organizācijas ir neaizsargātas pret pārkāpumiem visu gadu.

Bija laiks, kad kiberdrošības eksperti izmantoja pils analoģiju, lai aprakstītu šādus uzbrukumus — kad ienaidnieki šķērso grāvi, šķērso sienu un ielīst bruņinieku nepamanīti. Taču Kriss Līks, Hewlett Packard Enterprise (HPE) drošības dienestu galvenais tehnologs, šo perspektīvu sauc par novecojušu. Vecākā taktika, kurā bruņinieki uzrauga perimetru, nav labākā resursu izmantošana. Ņemot vērā mainīgos draudus un veidus, kā kamuflāžas karavīri iekļūst, mums ir ātrāk jāatklāj iebrucēji, pirms tam viņi var atrast kroņa dārgakmeņus.



Andžejs Kavalecs, HPE drošības pakalpojumu galvenais tehnoloģiju speciālists, arī saskata evolūciju kiberdrošībā. Viņš saka, ka šobrīd uzbrucēju un aizsargu spējās valda milzīga asimetrija. Lielākā daļa organizāciju mūsdienās paļaujas uz pagātnes sienām un grāvjiem, domājot, ka tās aizsargā pret katapultām un lielgabaliem, savukārt uzbrucēji tā vietā izmanto dronus un īpaši mērķtiecīgu slepeno tehnoloģiju. Viņš atzīmē, ka mūsdienu digitālajos uzņēmumos darbinieki un klienti bieži atrodas ārpus uzņēmuma sienām, piemēram, kafejnīcās un sadarbības telpās bez spēcīgas perimetra aizsardzības. Tikmēr kā HPE 2016. gada kiberriska ziņojums atklāj, ka 86 procentiem organizāciju pašlaik trūkst atbilstošu kiberdrošības iespēju.

Video: uzbrukuma anatomija

Mēneši iekšpusē



Cik ilgi pretinieki pavada perimetrā, pirms tiek atklāti? Saskaņā ar datiem 2015. gadā vidējais dienu skaits bija 146 M-Trends 2016 ziņojums autors Mandiant. Lai gan lielākā daļa uzbrukumu nepārvērsīsies par lieliem pārkāpumiem, pastāvīgie kiberdrošības draudi mūsdienās ir dzīves fakts, saka Heilmans. Viņš saka, ka veiksmīgs uzbrucējs var iegūt piekļuvi tīklam nedēļas laikā vai pat tikai pāris dienu laikā. 'Tātad, ja nevarat novērst uzbrukumu — ja zināt, ka uzbrucējs iekļūs neatkarīgi no tā, tad vēlaties to atklāt pēc iespējas ātrāk un pēc tam reaģēt uz to. HPE Kawalec piekrīt. Viņš saka, ka cilvēkiem ir vajadzīgs spēcīgs drošības partneris vai partneru kopums, kas saprot, kā reaģēt reāllaikā.

Šeit darbojas FireEye un HPE. Abi uzņēmumi, kas piedāvā reaģēšanu uz incidentiem, kompromisu novērtēšanu un draudu noteikšanas pakalpojumus uzņēmumiem visā pasaulē, katru gadu reaģē uz tūkstošiem šādu pārkāpumu.

Kavalecs saka, ka ir vajadzīga patiesa mācīšanās un izpratne par ritmu — notikumu secību. Šī kadence ietver izpēti un izlūkošanu, infiltrāciju, atklāšanu, sagūstīšanu un eksfiltrāciju vai datu ieguvi. Kavalecs saka, ka ir ļoti svarīgi izprast jūsu organizācijas riska profilu: jāsāk ar vienkāršu jautājumu: kādi ir jūsu digitālie līdzekļi un ar tiem saskaras kiberdraudi? Bez šīs atbildes jūs būsit nožēlojami nepietiekami sagatavots, lai reāllaikā reaģētu uz potenciāli postošu kiberuzbrukumu.



Uzbrukuma dzīves cikls

Aptaujas rezultāti

  • Kiberdrošības izaicinājumi, riski, tendences un ietekme

    Izgatavojis MIT Technology Review Custom sadarbībā ar Hewlett Packard Enterprise Security Services un FireEye Inc.

Neatkarīgi no tā, vai vainīgais ir hacktivist, kibernoziedznieks vai valsts sponsorēts draudu dalībnieks, ritms (vai uzbrukuma dzīves cikls ) būtībā paliek nemainīgs, saka Heilmans. Viņa komandas darbs ir vērsts uz progresīviem pastāvīgiem draudiem (APT), kas ir situācijas, kad vainīgie iegūst piekļuvi tīklam un paliek tajā ilgu laiku.

Pēc tam, kad uzbrucēji ir izpētījuši mērķa uzņēmuma sistēmas un personas, viņi veic nākamo soli: iefiltrējas tīklā, pieskaroties vājumam — 80 procentos gadījumu nosūtot pikšķerēšanas e-pasta ziņojumu, saka Heilmans. Cilvēkam liekot noklikšķināt uz saites vai atverot failu, uzbrucēji var palaist savu ļaunprātīgo kodu, kas bieži vien rada aizmugures durvis tīklā. Tas rada pamatu, no kura uzbrucēji var kontrolēt savas darbības šajā vidē.

Tālāk seko privilēģiju eskalācija, Heilman skaidro: viņi izmanto tiesības, ko viņi ir ieguvuši no sistēmām, kuras viņi ir uzlauzuši, un pārsūta tās vietējam administratoram vai galvenajam administratoram, root piekļuvei vai jebkuram citam, kas viņiem var būt nepieciešams, lai nodrošinātu lielāku piekļuvi sistēmas un dati. To bieži panāk, nozogot akreditācijas datus, uzlaužot paroles vai izmantojot neaizsargātu programmatūru.

Kad uzbrucēji ir ieguvuši administratīvās tiesības, viņi ir sasnieguši APT statusu. Viņi veic izlūkošanu, pārvietojoties uz sāniem visā uzņēmuma datorsistēmās, novērtējot to, ko viņi redz, atzīmējot galveno personu lomas un pienākumus, kā arī vajadzīgās informācijas atrašanās vietu. Vainīgie bieži saglabā klātbūtni vai neatlaidību, uzstādot vairākas aizmugurējās durvis visā vidē. 'Pēc tam viņi mēģinās paveikt visu, ko viņi ir sākuši darīt, proti, bieži vien zagt informāciju, piemēram, intelektuālo īpašumu, finanšu datus, informāciju par apvienošanos un pārņemšanu vai personu identificējošu informāciju,' saka Heilmans. Kad viņi ir pabeiguši savu uzdevumu, uzbrucēji saglabā piekļuvi, ja iespējams, ja vēlas atgriezties.

Padomi mērķiem: domājiet kā ļaunie puiši

Pēc Heilmana domām, labākā pieeja uzbrucēju uzveikšanai ir pārņemt viņu domāšanas veidu — nevis reaģēt uz viņu nākamajiem gājieniem, bet gan tos paredzēt. Jums arī jāatpazīst un jāatklāj anomāla uzvedība savā organizācijā.

Kawalec mudina uzņēmumu vadītājus iepazīties ar sava uzņēmuma draudu ainavām. Zinot, kuri līdzekļi ir viskritiskākie un tādēļ tie ir modri jāaizsargā, ir nozīmīga uzbrukuma priekšrocība pret kiberdraudiem. 'Saprotiet, kas ir vērtīgs jūsu organizācijā. Kurš mēģinās iegūt šos lielos aktīvus? Tas sniedz jums priekšstatu par risku, viņš saka. Pēc tam saprotiet, vai esat ticis apdraudēts un kur esat neaizsargāts. Visbeidzot, lielākā problēma: vai jūs precīzi zināt, ko darīsit, kad pārkāpuma gadījumā zvana tālrunis? Kavalecs jautā. Tie ir lielie jautājumi, uz kuriem būtu jāspēj atbildēt jebkuram kiberdrošības vadītājam vai galvenajam informācijas drošības speciālistam savas organizācijas vārdā, jo, ja viņi nevar, viņi ir nokļuvuši nepatikšanās.

Tāpat kā ar daudziem citiem noziegumiem, pirmās 48 stundas pēc pārkāpuma ir vissvarīgākās. Taču to, cik ātri un cik labi organizācija reaģē un atveseļojas, nosaka paveiktais pirms tam incidents. Jūsu sākotnējā reaģēšana ārkārtas situācijās pilnībā un būtībā ir atkarīga no darba, ko veicāt vairākus mēnešus iepriekš: uzrakstiet un izprotiet pārkāpumu reaģēšanas plānu, nosakiet iesaistīto cilvēku, īpaši pirmās palīdzības sniedzēju, lomas un pienākumus un pēc tam apmāciet cilvēkus, skaidro Kavalecs. Viņš saka, ka ļoti svarīgi ir arī vingrinājumi: izpildiet scenārijus un rediģēšanas komandu pārskatus vai reālistiskas simulācijas, kā arī iepazīstieties ar uzņēmuma valdi reālajā dzīvē saistībā ar kiberuzbrukumu. Tādā veidā, kad viņi to piedzīvo pa īstam, tā nav pirmā reize.

Un tā nebūs pēdējā reize. Kā liecina HPE jaunākie kiberriska ziņojuma dokumenti, pārkāpumu skaits ir palielinājies, un, lai gan uzbrucēji joprojām izmanto salīdzinoši vecas metodes, lai mērogotu ugunsmūrus un apietu pretvīrusu programmatūru un citas tradicionālās aizsardzības metodes, tās arī kļūst arvien sarežģītākas. Viņi pielāgo savas metodes, lai apietu jaunākas kiberdrošības tehnoloģijas. Turklāt viņi izstrādā sarežģītus biznesa modeļus, kuros viņi sadarbojas uzbrukumos, un paplašina savu sasniedzamību lietiskajā internetā, tostarp mobilajos tālruņos, planšetdatoros un mākoņpakalpojumos. Tas viss kopā veido milzīgus izdevumus organizācijām: 2015. gada kibernoziegumu izmaksu pētījums: globāls , ko veica Ponemon institūts un sponsorēja HPE, lēš, ka vidējās gada izmaksas par kibernoziegumiem 252 salīdzinošajiem uzņēmumiem ir 7,7 miljoni USD tikai viena gada laikā, un drošības izpētes uzņēmums ziņo, ka daži zaudējuši pat 65 miljonus USD.

Lai tiktu galā ar arvien sarežģītākiem pretiniekiem, ir vajadzīgas attiecīgi sarežģītas aizsardzības līnijas. Paturot to prātā, HPE ir izstrādājis nozares standartu Kiberatsauces arhitektūra (CRA), kas nodrošina klientiem plānu uzlabotiem draudu aizsardzības pakalpojumiem un reaģēšanas uz incidentiem iespējām. Citu funkciju starpā CRA ietver FireEye jaunākās atziņas par APT — situācijām, kurās uzbrucēji nostiprina stabilu pamatu un ilgstoši izdara postu.

Būtībā CRA ir kiberdrošības pavārgrāmata, saka Līks no HPE. 'Atsauces arhitektūra formulē, kādai vajadzētu izskatīties jūsu organizācijai: galvenās jomas, atbildības jomas un metrika. Viņš skaidro, ka tas svārstās no stratēģiskās daļas, tostarp reaģēšanas apmācību vadīšana uzņēmumā, līdz cilvēkiem, operācijām un beidzot ar to, kas jums jādara faktiskā pārkāpuma gadījumā.

Arhitektūra ietver arī īpašas izmantošanas projektus, sintezējot kopīgos notikumus un kartējot tos atpakaļ uz CRA, lai noskaidrotu, vai tā novērš risku un darbības risku, piebilst Leach. 'Galvenais informācijas drošības speciālists (CISO), iespējams, risina risku tik aktīvi, cik vien spēj. Bet CISO var nesaglabāt visas šīs atsauces arhitektūras daļas, un tāpēc tai ir jāsadarbojas ar citiem, lai iegūtu visu attēlu, viņš saka. CRA patiešām ir vērtīgs visaptverošs ceļvedis.

Sadarbojieties ar ekspertiem

Statistika liecina, ka uzņēmumiem ir nepieciešama ārēja palīdzība kiberdrošības jomā. Tikai 47 procentus no 2015. gadā novērstajiem Mandiant pārkāpumiem atklāja iekšēji, paša uzņēmuma darbinieki; 53 procentos gadījumu uzņēmumi par pārkāpumiem uzzināja no ārējiem avotiem, piemēram, tiesībaizsardzības iestādēm, plašsaziņas līdzekļiem, klientiem vai piegādātājiem vai pat pašiem uzbrucējiem. Kawalec saka, ka šāda ārējā paziņošana nostāda uzņēmumu vadītājus sarežģītā un reaģējošā stāvoklī. 'Tas nozīmē, ka viņiem ir ļoti grūti kontrolēt situāciju, pavēlēt un vadīt atbilstošu reakciju, kā arī sazināties no spēka pozīcijas,' viņš saka. Viņiem ir jākoncentrējas uz lietotāju un sistēmu uzvedības izpratni un izsekošanu, un pēc tam jāsaskaņo modelis ar kaut ko, kas, viņuprāt, nav pareizi.

Arvien vairāk globālu uzņēmumu vēršas pie HPE, lai saņemtu kiberdrošības sanācijas pakalpojumus, kuru pamatā ir FireEye uzlabotā draudu noteikšana, izlūkošana, metodoloģijas un incidentu reaģēšanas zināšanas. HPE-FireEye draudu analītiķi iesaistās kā organizācijas kiberdrošības komandas paplašinājums, sniedzot ieskatu un izlūkdatus no priekšējām līnijām. Papildus reaģēšanai uz incidentiem HPE un FireEye aktīvi meklē kompromisa rādītājus savu klientu vidē.

Ar 10 drošības operāciju centriem visā pasaulē un 5000 drošības speciālistiem, kas apkalpo 10 000 klientu, HPE piedāvā nepārspējamu globālo sasniedzamību. Turklāt FireEye ir seši globālie drošības operāciju centri, kas nodrošina pastāvīgu atklāšanu un reaģēšanu 4400 klientiem. Abi uzņēmumi kopā veido spēcīgu partnerību kiberdrošības jomā, saka Kawalec. “Ja ņem vērā tipiskas drošības komandas resursus diezgan lielā organizācijā, pat lielas drošības komandas sastāvētu tikai no 15 līdz 100 cilvēkiem. HPE un FireEye spēj nodrošināt kiberdrošības iespējas plašam uzņēmumu lokam. Tāpēc cilvēki vēršas pie mums pēc šīs palīdzības.

Lai uzzinātu vairāk par kiberdrošību, lūdzu, izpētiet šī HPE-FireEye resursu vietne .

paslēpties