Следующую кибер-атаку можно предотвратить

//Следующую кибер-атаку можно предотвратить

Следующую кибер-атаку можно предотвратить

После недавних вспышек активности вирусов-шифровальщиков WannaCry и Petya и массовых утечек информации из HBO и Equifax, организации все больше беспокоятся о своей уязвимости к кибер-угрозам. И для этого есть убедительные основания — эти два инцидента иллюстрируют огромное глобальное воздействие и разрушения, которые могут быть вызваны современными кибератаками. Современные хакеры имеют в своем распоряжении более мощные и разрушительные инструменты, чем когда-либо прежде. В этом документе обсуждаются растущие угрозы и потенциальные убытки, связанные с кибератаками, а также приводятся руководящие принципы и технологии, которые организации должны использовать для предотвращения последующих атак.

Первые звоночки

Будущее наступило — в современном мире все устройства и люди связаны единой информационной сетью, а информация и транзакции полностью оцифровываются. Эта невероятная технологическая эпоха имеет огромные возможности для человечества, но в то же время это означает, что организации более уязвимы и более подвержены воздействию, чем когда-либо прежде.

В мае и июне 2017 года мир стал свидетелем двух массовых кибератак, которые продемонстрировали хрупкость мира. Вспышки, получившие название WannaCry и Petya, быстро распространялись путем использования уязвимости Windows и наносили огромный урон во всем мире.

Сообщалось, что атака шифровальщика Petya (также известного как NotPetya) распространялось через обновления скомпрометированного украинского программного обеспечения учета. Как только система была заражена, атака разрасталась вширь, используя уязвимости в операционной системе Windows для заражения других компьютеров в сети. Украинские банки, министерства, СМИ и энергетические компании были закрыты, а украинская инфраструктура была повреждена. Несмотря на то, что, по-видимому, шифровальщик Petya был ориентирован на атаку украинских целей, он породил глобальный ущерб, парализующий компании по всему миру и вызвал огромные финансовые потери.

Вспышка WannaCry месяцем ранее была еще более масштабной и удачной. В течение дня он заразил более 230 000 компьютеров в 150 странах. Как и Петя, WannaCry серьезно повлиял на многие компании во всем мире. Среди его жертв были больницы в Великобритании, автопроизводители Honda и Renault, российские и немецкие железные дороги, Telefónica, O2, Hitachi, LATAM Airlines и FedEx. Оценки суммарного ущерба варьируются от сотен миллионов до 4 миллиардов долларов. Эти нападения, наряду с другими, нацеленными на учреждения здравоохранения, телевизионные каналы (утечка HBO),финансовые услуги (такие как Equifax) — это явные признаки того, что кибератаки являются огромной угрозой для общества и нашей повседневной жизни.

Кибератаки продолжают расти с угрожающей скоростью, как в объеме, так и в сложности и влиянии на инфраструктуру. По состоянию на май 2017 года продукты Check Point обнаружили более 17 миллионов атак в неделю, более половины из которых осуществляется с использованием зловредного программного обеспечения, которое неизвестно на момент обнаружения и не может быть обнаружено с помощью обычных технологий на основе анализа сигнатур.

В этот век супер-киберпреступности, необходимость защиты от передовых атак более важна, чем когда-либо прежде. Компании должны использовать передовые технологии, чтобы оставаться защищенными.

Как предотвратить атаки в будущем

Ущерб от атак Petya и WannaCry не был неизбежным. Благодаря правильным мерам и технологиям многие организации смогли избежать этих атак.

Чтобы действительно бороться с атаками завтрашнего дня, организации должны применять проактивный подход, используя передовые технологии, которые могут предотвратить даже самые хитрые атаки «нулевого дня».

Последующие атаки может быть предотвращены, если компании изменят свое мнение о безопасности и будут следовать нескольким принципам:

1. Соблюдение информационной гигиены

Поддержание надежной информационной гигиены во всех ИТ-системах уменьшит площадь атаки и поможет предотвратить или сдержать множество атак. Лучшие меры и рекомендации, которые следует соблюдать, включают:

  • Обновление ПО: очень часто атаки реализуются за счет использования известных уязвимостей, для которых патч существует, но не был применен. Организации должны стремиться обеспечить своевременную установку обновлений безопасности во всех системах и программном обеспечении.
  • Сегментация: Сети должны быть сегментированы с применением надежных межсетевые экранов и IPS-защиты между сегментами сети, чтобы содержать распространения инфекции по всей сети.
  • Обзор: Политики продуктов безопасности должны быть тщательно проверены, а журналы инцидентов и предупреждения должны постоянно контролироваться.
  • Аудит: Регулярный аудит и тестирование на проникновение должны проводиться во всех системах.
  • Принцип минимизации привилегий: привилегии пользователей и программного обеспечения должны быть сведены к минимуму — действительно ли существует потребность в том, чтобы все пользователи имели права локального администратора на своих ПК?

2. Выбор предотвращения заражения

Компании и другие игроки в отрасли часто утверждают, что атаки будут происходить в любом случае, нет способа избежать их, и поэтому остается только инвестировать в технологии, которые обнаруживают атаку, когда она уже нарушила сеть, и смягчить ущерб как можно скорее.

Это просто неправда! Существует возможность блокировки не только известных атак, но и возможность блокировать атаки «нулевого дня» и неизвестные вредоносные программы. При наличии правильных технологий большинство атак, даже самых продвинутых, можно предотвратить, не нарушая нормальный бизнес-поток.

3. Использование комплексной единой архитектуры

Многие компании пытаются построить свою систему безопасность, используя комплекс точечных продуктов от нескольких поставщиков. Этот подход почти всегда терпит неудачу. Он приводит к использованию непересекающихся технологий, которые не могут работать совместно. Это создаёт пробелы в безопасности и приводит к огромным накладным расходам на работу с несколькими системами и поставщиками. В результате этого неэффективного подхода многие атаки не предотвращаются, заставляя организации больше вкладывать средства в борьбу с инфекциями после заражения.

Чтобы обеспечить комплексную безопасность, компаниям следует принять унифицированный многоуровневый подход, который защищает все ИТ-элементы: сети, конечные узлы, облачные и мобильные устройства, которые используют одну и ту же архитектуру предотвращения угроз.

4. Закрытие всех векторов атаки

Для проникновения злоумышленники используют множество различных способов. Наиболее часто используемыми являются:

  • Электронная почта и мессенжеры: Отправка почты или сообщения, содержащего вредоносное вложение или ссылку.
  • Веб-браузинг: Использование уязвимостей браузеров для загрузки на компьютер пользователя зловредного ПО.
  • Прямой взлом серверов и систем: Использование неприкрытых уязвимостей публичных серверов и систем для заражения зловредным ПО.
  • Мобильные приложения: Одним из наиболее часто встречающимся способом компрометации мобильных устройств является использование мобильных приложений.
  • Флэшки и мобильные диски: Мобильные носители информации позволяют зловредному ПО проникать в организации минуя компьютерные сети.

Чтобы обеспечить эффективную защиту, организации должны искать единое решение, которое может обеспечить широкую профилактику на всех направлениях атаки, включая электронную почту, веб-браузинг, защиту от эксплойтов, контроль мобильных носителей информации, мобильные приложения и многое другое.

5. Внедрение самых передовых технологий

Приемы атаки разнообразны и постоянно развиваются. ИТ-системы сложны. Не существует единственной технологии с серебряными пулями, которая может защитить от всех угроз и всех векторов атаки.

Существует множество отличных технологий и идей — машинное обучение, песочница, обнаружение аномалий, контентное разоружение и многое другое. Каждая из этих технологий может быть очень эффективной в конкретных сценариях, охватывающих конкретные типы файлов или векторы атак. Сильные решения объединяют широкий спектр технологий и инноваций для эффективной борьбы с современными атаками в ИТ-средах.

Заключение

Сегодняшний ландшафт кибер-угроз огромен и включает в себя различные угрозы вызывающие растущую озабоченность, в том числе кибер-угрозы, которые угрожают нашей повседневной жизни и благосостоянию общества. Хорошей новостью является то, что получение удара не предопределено и его можно избежать.

Вывод

Даже на фоне многочисленных ежедневных кибератак, вспышки WannaCry и Petya выделяются из-за их быстрого распространения, разрушительного воздействия и, прежде всего, их использования в качестве кибер-оружия. Многие рассматривают эти атаки как призыв к пробуждению, призыв снизить уязвимость бизнеса к кибератакам и катастрофический потенциал, который они создают для повседневных бизнес-операций.

Опора на обнаружение и смягчение нарушений после инфицирования, в качестве единственной стратегии безопасности является рискованной и опасной парадигмой.

Предотвращение возможно — следующая атака может быть предотвращена!

Чтобы действительно бороться с угрозами завтрашнего дня, организации должны применять проактивный подход, используя передовые технологии, которые могут предотвратить даже самые неуловимые атаки нулевого дня. Компании должны стремиться внедрить проверенное унифицированное решение, предлагающее широкую многоуровневую архитектуру кибербезопасности, реализованную во всей ИТ-инфраструктуре и охватывающую все направления атаки.

SandBlast — решение Check Point для защиты от угроз «нулевого дня» является частью комплексной архитектуры защиты, обеспечивающей ежедневную защиту тысяч клиентов. SandBlast разработан для блокирования расширенных и неизвестных атак, чтобы эффективно предотвратить кибератаки, которые мир еще не видел.

Узнайте, как предотвратить следующую атаку с помощью Check Point Infinity и семейства продуктов SandBlast.

Предотвратите атаки с помощью Check Point Infinity

Check Point Infinity является единственной полностью консолидированной платформой для кибербезопасности, которая в будущем обеспечивает безопасность бизнеса и ИТ-инфраструктуры во всех сетях, облачных и мобильных. Check Point Infinity предлагает многоуровневый набор возможностей для превентивного блокирования самых сложных известных и неизвестных угроз.

На переднем крае защиты в Check Point Infinity стоит SandBlast — семейство продуктов, базирующихся на облачном сервисе  Check Point ThreatCloud и самых передовых технологии предотвращения атак нулевого дня. SandBlast использует более чем 30 инновационных технологий и позволяет перекрыть все распространённые векторы атак: на компьютерную сеть, мобильных клиентов и облачные структуры.

 

Технологии используемые SandBlast

Эмуляция угроз (Threat Emulation) — уникальная технология защиты, позволяющая обнаруживать и блокировать вредоносные программы включая ранее неизвестные (угрозы нулевого дня) в файлах и других объектах проникающих в сеть через электронную почту, Интернет или непосредственно через компьютеры пользователей. Сочетает в себе десятки инновационных технологий для обеспечения наилучших скоростей обнаружения и распознавания вредоносной активности в отрасли.

Извлечение угроз (Threat Extraction) позволяет в режиме реального времени предоставлять пользователям безопасную версию файлов содержащихся во вложениях электронной почты и загружаемыз из Интернета. Исходные файлы отправляются на проверку сервисом  Threat Emulation и могут быть легко получены пользователем — если они не являются вредоносными.

Anti-RansomwareЗащита от шифровальщиков (Anti-Ransomware) — защита конечных компьютеров, специально разработанная для борьбы с программами-вымогателями. Эта технология предназначена для обнаружения атак нулевого дня программ-вымогателей (шифровальщиков)  посредством расширенного поведенческого анализа и обнаружения попыток незаконного шифрования файлов. Кроме того, файлы зараженные вирусами-шифровальщиками автоматически помещаются на карантин, и если какие-либо данные были зашифрованы, то они автоматически восстанавливаются.

Антифишинг (Zero Phishing) защищает учетные данные пользователя, используя безсигнатурную идентификацию неизвестных фишинговых сайтов. Эта технология дополнительно защищает учетные данные компании, предупреждая, когда пользователи повторно используют свои корпоративные учетные данные на личных интернет-счетах.

Защита мобильных устройств (Mobile Threat Defense) обеспечивает всестороннюю защиту от кибератак для Android и IOS. Технология идентифицирует и блокирует вредоносные приложения, предотвращая атаки с заражённых мобильных устройств.

Расследование и изоляция инцидентов (Forensic Analysis and Incident Quarantine) — обеспечивает автоматическое реагирование на инциденты и  изоляцию атак. Используя уникальный подход,  SandBlast’s Forensic позволяет собрать информацию об атаке и представить её в виде, удобном для использования любым специалистом по информационной безопасности, а инфицированный файл помещается в карантин.

Система предотвращение вторжений (IPS) блокирует атаки и попытки использования эксплойтов для сетей и систем. Check Point IPS лидирует в отрасли с точки зрения охвата уязвимостей и своевременности предоставления защиты для новых уязвимостей — по мере их появления.

Ботнет-защита (Anti-Bot) использует уникальную технологию  Multi-Tier ThreatSpect™ Еngine. Check Point Anti-Bot идентифицирует зараженные компьютеры и блокирует командные и управляющие коммуникации ботнета, предотвращая последствия заражения и утечку информации.

SandBlast NetworkСемейство продуктов SandBlast

Решение SandBlast построено на едином семействе продуктов, обеспечивающих комплексную многоуровневую защиту от всех векторов атаки и охватывающих все ИТ-активы.

SandBlast Network

SandBlast for Networks предлагает полную защиту с уникальным сочетанием передовых технологий предотвращения угроз. Начиная с базового IPS и AV и заканчивая добавлением уникальных возможностей Threat Emulation  и Threat Extraction для активной профилактики ранее неизвестных атак. Решение настроено таким образом, чтобы обеспечить максимальную безопасность без нарушения бизнес-процессов.

Защита Anti-Bot привносит дополнительный уровень защиты, выявляя скомпрометированные компьютеры и отключая их от командных центров.

Клиенты Check Point могут добавлять защиту SandBlast к своим существующим шлюзам безопасности Check Point, сохраняя и свои инвестиции в шлюзы безопасности и навыки персонала.

Гибкие варианты развёртывания позволяют устанавливать шлюзы как в разрыв трафика, так и с подключением через SPAN-порт. Интеграция со службами электронной почты может достигаться через МТА, защита веб-трафика может реализовываться как в инлайн режиме, так и за счёт интеграции с прокси-серверами через протокол ICAP.

Сетевое решение SandBlast полностью интегрировано с технологиями  Check Point’s SSL inspection и Identity Awareness, обеспечивая максимальные возможности по сбору информации об атаке.

SandBlast Agent

Агент SandBlast предлагает расширенную защиту уровня конечных компьютеров, охватывая загрузку файлов с веб-серверов, файловую систему, приложения и операционные системы. Прямая защита конечных компьютеров добавляет дополнительный защитный слой поверх сетевых защит и дополнительную защиту для мобильных пользователей и проверки файлов, поступающих через мобильные носители информации.

SandBlast Agent реализует полный набор передовых технологий SandBlast, включая Threat Emulation, Threat Extraction, Zero Phishing и защиту от программ-вымогателей. Анализ инцидентов и устранение неисправностей автоматизированы благодаря передовым средствам расследования инцидентов.

SandBlast Mobile

SandBlast Mobile защищает корпоративные устройства,использующие операционные системы  iOS и Android, используя широкий спектр уникальных технологий для защиты от передовых мобильных угроз. Решение интегрируется с существующими системами управления мобильными устройствами для обеспечения улучшенной управляемости и защиты.

SandBlast Cloud

SandBlast Cloud обеспечивает лучшую в отрасли безопасность для электронной почты Microsoft Office 365 ™, чтобы предотвратить распространение известных и неизвестных вредоносных программ среди пользователей.

SandBlast Cloud позволяет организациям с облачными почтовыми службами достичь отличного уровня защиты, используя сервисы Threat Emulation и Threat Extraction для защиты от вредоносного ПО, которое может содержаться в сообщениях электронной почты и вложеных файлах. Антивирусная система и служба репутационного анализа URL-адресов использует данные экосистемы ThreatCloud ™ для блокировки актуальных угроз на основе сигнатурного анализа.

SandBlast Cloud является полностью облачным решением и напрямую интегрируется с Microsoft’s Office 365™. Клиентам не требуется развертывать оборудование или устанавливать какое-либо программное обеспечение для использования этого решения.

Подробнее

2017-11-20T14:01:28+00:00 Ноя. 8, 2017|Check Point Software Technologies|

Оставить комментарий