Сделайте эти небольшие шаги, чтобы не дать кибератакам создать для вас большие проблемы

Эта старая поговорка «лучшее нападение — хорошая защита» так же верна и в отношении IT, как и в отношении NFL.

В то время, когда удаленная работа и ее повышенные риски безопасности стали нормой, сохраняющиеся трудности в защите корпоративных сетей говорят о том, что статус-кво не работает. Вот почему команды IT безопасности переходят от пассивного к активному подходу. Корпорация MITRE (некоммерческая организация, которая управляет финансируемыми из федерального бюджета научно-исследовательскими центрами) недавно представила свою платформу «Щит», в которой четко говорится, что активная защита имеет решающее значение в преодолении современных угроз. Бизнес-лидеры, которые знают последние стратегии и рекомендации, ставят свои компании в сильное положение, чтобы оставаться в безопасности.

Концепция активной обороны

Щит — это активная база знаний в области обороны, разработанная на основе более чем десятилетнего опыта участия противника в боевых действиях. С его помощью MITRE пытается собрать и систематизировать то, чему она научилась в отношении активной обороны и боевого применения противника. Эта информация варьируется от соображений о возможностях и целях на высоком уровне, готовых для CISO, до более ориентированных на практику разговоров о тактике, методах и процедурах, которые могут быть использованы защитниками. Эта последняя структура направлена на стимулирование дискуссии об активной обороне, о том, как ее можно использовать и о том, что нужно знать командам безопасности.

Определение активной обороны

Активная оборона охватывает целый ряд видов деятельности, включая поражение противника, базовые возможности киберзащиты и кибер-обман. Это влечет за собой использование ограниченных наступательных действий и контрнаступлений для предотвращения захвата противником цифровой территории или активов. В совокупности эти действия позволяют ИТ-группам остановить текущие атаки, а также получить больше информации о злоумышленнике. Тогда они смогут более полно подготовиться к будущим атакам.

Как отмечает MITRE, современный стек безопасности должен включать в себя возможности обмана, чтобы по-настоящему отпугивать противника и управлять им. В новой тактике и карте методов Щита обман выделяется на восьми активных тактических каналах обороны: собирать, сдерживать, обнаруживать, срывать, облегчать, узаконивать и тестировать — всего 33 защитных метода.

Правда об обмане

Субъекты угрозы нацеливаются на сети предприятий безостановочно, любой, начиная от злоумышленников из национальных государств, которые видят запатентованную информацию, и заканчивая обычными злоумышленниками, стремящимися вызвать хаос и получить какую-то PII, которую они могут использовать. По оценкам аналитиков, количество критических нарушений в корпоративных сетях увеличилось в три-шесть раз, в зависимости от целей.

По мере того, как лидеры рассматривают свою стратегию безопасности, они должны не только понимать, что означает активная защита, но и что такое обман на самом деле. Преобладающее заблуждение заключается в том, что обман является синонимом «медовых горшков», которые существуют уже долгое время и более не эффективны. А для того, чтобы сделать их как можно более реалистичными, требуется много управления, так что если злоумышленники вступят в бой с «медовыми горшками», они не смогут обнаружить, что это не настоящая система, и, следовательно, знать, что они находятся в процессе поимки.

Так что пришло время прояснить это понятие. По правде говоря, технология обмана и горшочки с медом не являются синонимами. Так начинался обман, но с тех пор он значительно эволюционировал. Сегодняшний обман использует подход хлебной крошки/обманщика, который выводит атакующих на ложный след, который вызывает тревогу, чтобы защитники могли найти и остановить атакующих в режиме реального времени. Только неавторизованные пользователи знают о существовании обмана, так как он не влияет на повседневные системы, поэтому количество ложных срабатываний резко снижается. Эти аспекты технологии обмана добавляют финансовую ценность организации информационной безопасности.

К тому же, некоторые организации ошибочно считают, что обман слишком сложен и дает сравнительно небольшую прибыль на инвестированный капитал. Организации, обеспечивающие безопасность, могли бы воспользоваться преимуществами использования технологии обмана — которая является легкой и имеет низкую стоимость обслуживания, — но некоторые из них колеблются, поскольку думают, что это слишком сложный подход, от которого они не получат достаточной ценности. Однако, используя такие технологии, как автоматизация и искусственный интеллект, обман устраняет ту сложность, которой он был известен ранее.

Организации склонны думать об обмане с точки зрения технологии, но это неправильно; об этом следует думать с точки зрения использования. Например, обнаружение является фундаментальным элементом любой программы безопасности. Всем нужны лучшие возможности обнаружения — неотъемлемая часть того, что делают современные инструменты обмана.

Более сильная защита

Тактика и инструменты киберпреступников продолжают меняться, так же как и защитники». Расширенный ландшафт угроз и новые типы атак усложняют эту задачу как никогда. В этом году многие организации по всему миру столкнулись с быстрыми цифровыми преобразованиями, которые создали бреши в безопасности для использования злоумышленниками. События 2020 года подчеркивают необходимость более эффективного подхода к обеспечению безопасности критически важных активов. Активная защита является частью этого подхода, как указано в концепции MITRE Shield. Технология обмана — это гибкое решение, достойное включения в стратегию безопасности организации.