Статья Офера Израели, генерального директора и учредителя Illusive Networks
Ни для кого не секрет, что уходящий год был крайне удачным для киберпреступников. В связи с этим организациям стоит внимательнее присмотреться к своим СЗИ. Пришло время взглянуть правде в глаза и выбрать «красную таблетку»: если Blue Team не может победить Red Team, то какие шансы у вас против программ-вымогателей или нацеленных злоумышленников? Ваша Blue Team чаще проигрывает, чем побеждает? Это первый признак того, что в будущем организация может подвергнуться атаке, которая дорого ей обойдется.
Согласно исследованию Exabeam, «62% Blue Team испытывают трудности, пытаясь остановить Red Team во время имитации действий злоумышленников». Кевин Мандиа, генеральный директор FireEye, в интервью публикации CRN заявил: «[Ежегодно] мы проводим примерно 400 ред тимов [в разных организациях]… Более чем в 90% случаев нам удается проникнуть в корпоративную сеть и в 75% — реализовать [запланированные] задачи».
Такие показатели мало кого шокируют в мире ИБ, и это вызывает обеспокоенность. Похоже, все в отрасли смирились с тем, что Red Team обычно побеждают Blue Team, и приняли это как должное. Не поэтому ли появились Purple Team? Это смирение — главная проблема текущего подхода к обеспечению кибербезопасности.
Реальность в том, что Blue Team просто не используют СЗИ, которые могут предотвратить латеральное движение по сети до того, как организации будет нанесен ущерб. Как изменить ход игры и снова с уверенностью сделать ставку на Blue Team? Сначала нужно позаботиться о низко висящих фруктах, которые могут стать легкой целью для злоумышленника.
Из-за атаки на Colonial Pipeline, оператора трубопроводов, кибербезопасность снова стала приоритетом. Исходя из вышесказанного, становится ясно, почему эта атака, успешная из-за аккаунта устаревшего VPN-продукта, стала целью злоумышленников. И хотя эта атака была в новостях по всему миру, организации все еще игнорируют самый эффективный способ защитить свою критическую инфраструктуру и бизнес: диверсифицированную стратегию обнаружения угроз.
Диверсификация стратегии обнаружения угроз
Из года в год на команды ИБ обрушивается непрекращающийся поток предложений от новых вендоров, которые предлагают «то самое» решение, способное устранить все их проблемы кибербезопасности. Однако большинство традиционных систем защиты конечных точек, основанных на обнаружении перемещения атакующего, т. е. аномалий, не так эффективны, как хотелось бы. В итоге программы-вымогатели и APT продолжают атаковать инфраструктуры, в которых установлены такие СЗИ.
Чтобы не дать злоумышленнику добраться до критической цели, организации должны исходить из предположения, что он уже проник в сеть, а также расширить стратегию безопасности, включив в нее продукты для обеспечения кибергигиены учетных записей и обнаружение латерального движения. Благодаря безупречному соблюдению кибергигиены организацией злоумышленникам будет не так просто обойти другие СЗИ и перемещаться по машинам в сети. После этого команды ИБ смогут перейти в наступление, обыграть хакеров в их собственной игре и наблюдать за ними, словно за рыбками в аквариуме. Все-таки главное правило войны гласит: «Знай врага своего и знай самого себя». Применяйте методы активной защиты, чтобы выявить ваши слабые стороны, а затем отслеживайте действия противника в его привычной среде, и победа не заставит себя ждать.
Однако внедрить диверсицированную стратегию обнаружения угроз за один день не получится. Предстоит долгая работа — это марафон, а не спринт. Прежде чем начать, организациям следует определить свои цели и задачи и в дальнейшем регулярно отслеживать их, чтобы своевременно реагировать на любые возникающие ограничения, связанные с бюджетом, технологическими возможностями и т. д.
Стрясите низко висящие фрукты. Шаги в правильном направлении
Кибербезопасность всегда напоминала затыкание дыр на титанике: устранив одну угрозу, команда ИБ может рассчитывать на скорое появление другой. Возможностей традиционных СЗИ, как для защиты сетевого периметра, так и для поиска аномалий, обычно недостаточно для обнаружения нацеленных атак на ранних стадиях. Чтобы защититься от хакера, надо думать, как хакер. Только так команды ИБ смогут определить активы, на которые нацелен злоумышленник, и обезопасить их. Организации должны начать с выполнения упражнения «Стрясти низко висящие фрукты», выполнив эти четыре шага:
- Оцените кибергигиену учетных записей и траекторий движения в вашей сети и примите меры по ее улучшению. Регулярно выявляйте и удаляйте ненужные остаточные привилегированные учетные записи и подключения для сокращения поверхности атаки.
- Убедитесь в грамотной реализации стратегии обнаружения латерального движения и корректной работе необходимых для этого СЗИ. Внедрите стратегию непрерывного обнаружения подозрительного латерального движения.
- Обновите пароли учетных записей с правами администратора. После оценки учетных записей и состояния кибергигиены необходимо обновить все пароли от аккаунтов с правами администратора.
- Отслеживайте латеральное перемещение для выявления злоумышленника в вашей сети.
Продвинутые киберпреступники мыслят стратегически и действуют методично. Чтобы остановить сложную атаку и защитить организацию, нужно увидеть ИТ-инфраструктуру глазами хакера — для этого и нужна Red Team. Выбор «синей таблетки» больше не вариант. Пришло время, когда Blue Team должна победить и серьезно замедлить атакующих. Ведь злоумышленники с каждым днем становятся только изобретательнее.
Узнайте больше об активной защите Illusive
Закажите демо или тестирование Illusive по этой ссылке.