Понеділок, 13 березня 2017 09:13

Гавел Миколайчик, Cisco, о киберпреступности

"Только активный поиск угроз позволит противостоять киберпреступникам"

Киберпреступность уже переросла в большой бизнес, хорошо организованный и очень инновационный. Информационные системы большинства компаний постоянно находятся под угрозой атаки.
При этом доля точечных действий, направленных на конкретного пользователя, сравнительно невелика: киберпреступники предпочитают прятаться за большими цифрами.
В итоге мы имеем дело с огромной волной потенциально опасных объектов (таких, как email-сообщения, содержащие ссылки), среди которых трудно выявить наносящие реальный вред. Тот самый случай иголки в стоге сена.
Приведу наглядный пример. Среднестатистическое крупное предприятие сталкивается примерно с 70 тыс. событий безопасности в неделю, каждое из которых требует проверки. Необходимо выяснить, скрывается ли за ним реальное нарушение безопасности.
Некоторые из этих событий могут оказаться ложной тревогой. Один из клиентов Cisco, к примеру, сталкивается с примерно 5 млн событий безопасности в год, однако лишь 500 из них приводят к подтвержденным нарушениям. Проверка такого количества ложных тревог требует значительных финансовых и временных затрат.
Однако невыявленные нарушения могут обойтись бизнесу гораздо дороже. Поэтому в сфере кибербезопасности пора переходить от пассивной оборонительной стратегии к активному поиску угроз.

Поиск киберугроз без перерывов на обед и сон
Цунами киберугроз уже миновало ту стадию, на которой его мог нейтрализовать человек. Идентификация и подтверждение нарушений занимают чересчур много времени, оставляя “плохим парням” свободу порождать хаос. А ликвидация последствий превращается в бесконечную гонку со временем.
Поэтому целесообразно поручить охоту на угрозы технологиям, которые работают в режиме активного поиска, постоянно анализируя сеть на предмет аномалий. Приведу пример аномалии: если сервер становится вчетверо активнее, чем обычно, за этим вполне может скрываться киберпреступник, похищающий данные.
А поскольку мошенники не придерживаются стандартного офисного распорядка, поиск угроз должен осуществляться в режиме 24/7, без перерывов на сон. Поэтому Cisco работает круглосуточно — по так называемой модели “Следуй за солнцем”, выявляя кибер­угрозы в наших трех центрах по обеспечению безопасности, расположенных в разных уголках планеты.

Защита пользователей
от “убийственной киберцепочки”

Поиск киберугроз должен стать постоянной фоновой деятельностью, поскольку человек — самое слабое звено в системе безопасности, и этот факт в первую очередь эксплуатируют преступники. Даже наиболее продвинутые из нас рано или поздно могут кликнуть на ссылку, которую открывать не следует.
“Плохие парни” создали так называемую убийственную киберцепочку (cyber kill chain), состоящую из семи звеньев-шагов. Преступники постоянно просматривают сайты на предмет потенциальных целей.
Как только разведка дает результат, они очень быстро переходят к фазе “приманка” — email-сообщению или посту в социальных медиа, который вводит в заблуждение пользователя, подталкивая его к небезопасным действиям.
Отсюда всего лишь шаг к добавлению вредоносного файла (дроппера) в уязвимую систему. После заражения система оказывается под контролем хакеров, и они могут спокойно завладеть данными, зашифровать их или повредить операционную систему. Реализация семи шагов этой цепочки занимает всего несколько минут. Средний же показатель идентификации нарушения в индустрии превышает 100 дней. Только представьте, какой ущерб можно нанести системе за более чем три месяца свободного доступа!
Поэтому наш подход к выявлению угроз объединяет интеллект, аналитику, специалистов и технологии для сверхбыстрого выявления нарушений. Эта комбинация позволила Cisco уменьшить среднее время обнаружения опасности до минут. Чтобы достичь таких показателей, наши “охотники за угрозами” никогда не спят!

Дополнительная информация

  • Номер: Бизнес №11 от 13.03.2017
Прочитано 283 раз
Другие материалы в этой категории: « Трудности перехода Портрет недели »
Авторизуйтесь, чтобы получить возможность оставлять комментарии
NOT ROOT---counter < 0 ---not Root, not-buy, counter fail---9---0
« November 2018 »
Mon Tue Wed Thu Fri Sat Sun
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30    

Раз на тиждень ми відправляємо дайджест з найцікавішими та актуальними матеріалами.