648 киберугроз возникают каждую минуту, а киберпреступность обходится организациям в 1,79 миллиона долларов в минуту, поэтому глобальный масштаб многих кибератак, таких как уязвимости SolarWinds и Microsoft Exchange, которые затронули почти всех, оказывает давление на руководителей по информационной безопасности. За последние месяцы было совершено более дюжины эксплойтов нулевого дня, беспрецедентная скорость успешного проникновения делает до боли очевидным отсутствие контроля руководителей безопасности .
Хакеры, пользующиеся преимуществами цифровой трансформации
Частота прогрессивных постоянных угроз (APTs — advanced persistent threats ) растет и становится все более разрушительной и широко распространенной. Первоначально уязвимость Microsoft Exchange затронула более 400 000 серверов по всему миру. Изощренные злоумышленники пользуются преимуществами цифровой трансформации, в результате которой цифровое предприятие попадает в сеть и благодаря связности Интернета распространяется там.
Проблема в том, что каждый из компонентов Интернета представляет собой отдельные нити, сплетенные между собой, чтобы создать сеть. Если организация присутствует в Интернете, она переплетается с любой другой сущностью в сети, включая злоумышленников. Спонсируемые государством злоумышленники осуществляют атаки на предприятия, использующие одни и те же уязвимые системы, и они рассчитывают на эту взаимосвязь.
Поскольку цифровая трансформация никуда не денется, компании должны убедиться, что они не прибегают к устаревшим методам кибербезопасности для преодоления этого кризиса. Во-первых, они должны понять, что благодаря глубокой взаимосвязанности Интернета хорошие парни, плохие парни и все, кто находится между ними, связаны глубокими цифровыми отношениями. Затем они должны понять, как субъекты киберугроз используют это в своих интересах, и как сообщество специалистов по безопасности может начать использовать это в своих. В конечном итоге выиграют те организации, которые понимают, как работают эти связи — хорошие или плохие.
Масштабы взлома SolarWinds
В современном цифровом мире Интернет — это периметр, который мы все разделяем, нравится нам это или нет, и взлом с участием SolarWinds является тому подтверждением. После взлома SolarWinds иностранные хакеры смогли использовать бэкдор под названием SUNBURST в программном обеспечении для ИТ-мониторинга Orion компании SolarWinds. Это было не что иное, как полный захват Orion. Каждый бизнес, в котором использовалась испорченная технология, был сразу поражен.
Атака SolarWinds вызвала огромную тревогу в сообществе кибербезопасности. В конце концов, среди жертв были Министерство внутренней безопасности, Министерство финансов, Deloitte, Microsoft и многие другие. Компания SolarWinds доказала, что APTs сложнее, чем многие думали. Открытие того, что хакеры могут троянизировать программное обеспечение ИТ-компании, пользующейся таким доверием, как SolarWinds, открыло всем глаза.
Как только сектор кибербезопасности столкнулся с беспрецедентным вторжением SolarWinds, возникла уязвимость Microsoft Exchange. Эта модель, несомненно, будет продолжаться, а это означает, что все, а не только самые ценные владельцы интеллектуальной собственности, подвергаются риску из-за природы больших данных и изощренности APTs и субъектов национального государства.
Эффективная защита от угроз
Масштаб поверхности атаки бизнеса, включая цифровые цепочки поставок, партнеров и ИТ для обеспечения удаленной рабочей силы, просто стал слишком большим. При этом, киберугрозы в масштабах интернета — это самая маленькая иголка в огромных стогах сена для данных. Компании должны иметь возможность сканировать Интернет и создавать карту в реальном времени, которая раскрывает глубокие цифровые связи, составляющие поверхность глобальной атаки.
Картографирование Интернета показывает отношения между жертвами кибератак и злоумышленниками. Действительно, организации часто не знают, что они используют уязвимые системы, которые и атакуют злоумышленники, поэтому предотвратить атаки, не говоря уже о том, чтобы на них ответить, невозможно. Благодаря полной прозрачности организации могут знать то, чего они не знают и не понимают — с глобальной точки зрения, когда-то считавшейся просто необъятной — где скрываются наиболее важные для них угрозы и уязвимости.
Практическая информация о безопасности
Команды безопасности нуждаются в действенной аналитике безопасности, которая дает возможность взглянуть на атаку с высоты птичьего полета, показывая, как именно внутри организации возникают уникальные интернет-связи. Компаниям нужна аналитика безопасности с учетом глобальной картины атаки и глубокое понимание угроз, наиболее важных для уникального цифрового следа предприятия.
Программы безопасности также нуждаются в солидном бюджете для средств анализа угроз и криминалистической экспертизы. Команды безопасности должны иметь возможность незамедлительно и решительно реагировать на атаки, а упреждающие инвестиции в данные и системы аналитики угроз имеют решающее значение. Директора по информационной безопасности также должны иметь расширенную функцию реагирования на инциденты и сопутствующие данные. Действительно, важно, чтобы руководители по информационной безопасности могли ответить на такие вопросы, как, например, каков характер атаки? Какие особенности сети уязвимы? Была ли взломана компания? Какие улики существуют в результате атаки? Ответить на эти вопросы, когда атака уже происходит, сложно.
С этой целью жизненно важно полагаться на глубокую интернет-разведку, чтобы понять различных участников угроз. В конце концов, конкретные субъекты угроз будут демонстрировать разные тактики, методы и процедуры — они также будут обладать разными активами и использовать уникальные векторы. Сбор разведданных в глубинах даркнета — естественном укрытии злоумышленников — предоставит дополнительный контекст противника; например, где они атаковали раньше и где могут атаковать снова, или какую информацию они крадут.
Эти расследования требуют времени, поскольку они связаны с огромным количеством событий, происходящих каждый день. В этом случае автоматизация необходима для интеграции видимости в Интернете в основные приложения безопасности, используемые в операциях безопасности. Это может принимать форму таких методов, как оценка репутации и обогащение событий для эффективной автоматизации ответов.
Масштабные кибератаки 2021 года, вероятно, будут увеличиваться в темпе, поскольку мировые державы продолжают использовать плавные границы Интернета, нацеливаясь на организации и их цифровые цепочки поставок. В этой динамике задача руководителей по информационной безопасности и их групп безопасности никогда не была столь важной, поскольку возможности противника только увеличивались. Целостный анализ динамики киберугроз — единственный верный способ обеспечения безопасности компаний.
Вместо того чтобы использовать подход «на лету», компании должны инвестировать и совершенствовать свою инфраструктуру реагирования на инциденты до того, как произойдет неизбежная атака. В конечном итоге организации должны использовать упреждающий подход к кибербезопасности. В конце концов, даже самые безопасные организации в мире могут стать жертвами уязвимости больших данных.
Перевод статьи технического директора и главного специалиста по данным Адама Ханта Defending against state-sponsored cyber-attacks.