Ръководство за инвестиции в киберсигурността

Начало
Ръководство за инвестиции в киберсигурността
Zdravko Bodzhov
0

Организациите трябва да осъзнаят, че сигурността не се състои в броя на внедрените инструменти, а в това да се гарантира, че тези инструменти ефективно прекъсват веригата на атаките на всеки етап.

NAC, SDN, SASE, CASB, IDaaS, PAM, IGA, SIEM, TI, EDR, MDR, XDR, CTEM – списъкът е дълъг. Ако тази „азбучна супа“ ви звучи познато, това е така, защото организациите по целия свят внедряват редица инструменти за сигурност, като всички те обещават защита срещу пробиви в данните. Според неотдавнашна прогноза на Gartner глобалните разходи за информационна сигурност ще достигнат 212 млрд. долара през 2025 г., което е с 15,1% повече в сравнение с 2024 г.

При такива значителни инвестиции може да се предположи, че сме на няколко крачки пред киберпрестъпниците. И все пак почти не минава седмица без нова кибератака с голям обществен интерес – независимо дали става дума за масово използване на уязвимост на PHP, пробиви в данните на множество здравни организации или атаки с цел получаване на откуп от предприятия като Tata Technologies.

Това повдига един важен въпрос: Съсредоточаваме ли се върху правилните мерки за сигурност? Самият брой на внедрените инструменти не определя киберустойчивостта на дадена организация. Това, което наистина има значение, е ефикасността на тези средства за контрол на сигурността и способността да се прекъсне веригата на атаката в ранните ѝ етапи. За да постигнат това, организациите трябва да разберат анатомията на една кибератака.

Реалността на кибератаките

В продължение на години кибератаките са представяни като сложни операции, използващи уязвимости от нулев ден, изискващи усъвършенствани техники за кодиране, за да се пробие привидно непробиваемата защита. Реалността е съвсем различна:

Днес кибернетичните противници не хакват – те влизат в системата. Нападателите използват предимно слаби, откраднати или компрометирани идентификационни данни. Според Доклада на Verizon за разследванията на нарушения на сигурността на данните през 2024 г. 80 % от нарушенията са свързани с фишинг и злоупотреба с удостоверения.

Въпреки това много организации все още отделят най-голям дял от бюджета си за сигурност за периметрова защита, вместо да инвестират в контроли, които се отнасят до най-често срещаните вектори на атака: злоупотреба с пълномощия и компрометирани крайни точки.

Това е критична грешка. За да изградят ефективна стратегия за киберсигурност, организациите трябва да разберат как действат хакерите, като идентифицират техните тактики, техники и процедури (TTP). Това изисква задълбочено вникване в жизнения цикъл на кибератаката.

Анатомия на кибератаката

Макар че съществуват различни модели за описание на жизнения цикъл на кибератаката – известен още като верига на поразяване – повечето следват една и съща основна трифазна структура. Тези фази се прилагат както за външни, така и за вътрешни заплахи.

Фаза 1: Компрометиране

Повечето кибератаки започват със събиране на данни за удостоверения. Нападателите използват:

  • Фишинг кампании
  • Техники за социално инженерство
  • Издирване на пароли
  • Цифрови скенери
  • Атаки, базирани на зловреден софтуер
  • Откраднати идентификационни данни от тъмната мрежа

 

След като получат идентификационните данни, киберпрестъпниците използват груба сила, набиване на идентификационни данни или разпръскване на пароли, за да получат достъп.

Тъй като тези атаки заобикалят традиционните защити на периметъра, организациите трябва да променят начина си на мислене и да възприемат подход на нулево доверие, който предполага, че нападателите вече са вътре в мрежата. Тази перспектива трябва да определя архитектурата, инвестициите и политиките за сигурност занапред.

Фаза 2: Проучване

След като получат достъп, нападателите извършват разузнаване, като картографират мрежата, за да идентифицират ценни активи, привилегировани акаунти и контроли за сигурност. Основните им цели включват:

  • Контролери на домейни
  • Активни директории
  • Критични сървъри

За да ограничат разузнаването и страничното движение, организациите трябва да приложат най-добрите практики за управление на легитимния достъп (Privileged Access Management – PAM), включително:

  • Прилагане на многофакторна автентикация (MFA) навсякъде
  • Прилагане на контрол на привилегиите „точно навреме“
  • Създаване на зони за достъп
  • Използване на защитена среда за администриране

Фаза 3: Ексфилтриране и прикриване

След като атакуващите открият чувствителни данни, те увеличават привилегиите си, за да ексфилтрират информация и да прикрият следите си. Обичайните тактики включват:

  • Създаване на задни врати (напр. SSH ключове) за бъдещ достъп
  • Деактивиране на дневниците и сигналите за сигурност
  • Маскиране като легитимни потребители

 

За да противодействат на тези заплахи, организациите трябва:

  • да прилагат MFA за всички акаунти
  • да разделят административните акаунти (както се препоръчва от Microsoft)
  • да прилагат одитиране и мониторинг на базата на хостове
  • да използват машинно обучение за откриване на аномално поведение на привилегировани потребители

Заключение

Разбирането на TTPs на хакерите е от съществено значение за привеждане на мерките за сигурност в съответствие с реалните заплахи. Организациите трябва да признаят, че сигурността не се състои в броя на използваните инструменти, а в това да се гарантира, че тези инструменти ефективно прекъсват веригата на атаките на всеки етап. В крайна сметка инвестициите в сигурността трябва да бъдат съобразени с реалните тактики за атаки, а не само с разпространението на инструментите.

Чрез приоритизиране на сигурността на удостоверенията, защитата на крайните точки и принципите на нулевото доверие предприятията могат значително да намалят излагането си на риск и да изградят истинска киберустойчивост.

Автор: Торстен Джордж

Източник: e-security.bg

Сподели в:

Още публикации:

Equal1 представя първия в света квантов компютър на силициева основа

Equal1 представя първия в света квантов компютър на силициева основа

Прочети още
Повечето средства от най-големия крипто обир в историята са изпрани

Повечето средства от най-големия крипто обир в историята са изпрани

Прочети още
WatchGuard получава най-високото признание

WatchGuard получава най-високото признание

Прочети още
FireCloud Internet Access : Бъдещето на сигурната отдалечена свързаност

FireCloud Internet Access : Бъдещето на сигурната отдалечена свързаност

Прочети още
Ръководство за инвестиции в киберсигурността

Ръководство за инвестиции в киберсигурността

Прочети още
5 начина да приведете киберсигурността си в съответствие с насоките на Световния икономически форум (СИФ)

5 начина да приведете киберсигурността си в съответствие с насоките на Световния икономически форум (СИФ)

Прочети още

Последни публикации:

Equal1 представя първия в света квантов компютър на силициева основа
Equal1 представя първия в света квантов компютър на силициева основа
Повечето средства от най-големия крипто обир в историята са изпрани
Повечето средства от най-големия крипто обир в историята са изпрани
WatchGuard получава най-високото признание
WatchGuard получава най-високото признание

Категории:

Новини

Следвай ни в:

Facebook Linkedin

Етикети

Заяви продуктова консултация или ДЕМО

Антивирус БГ ЕООД

След повече от 20 години успешно представителство на Panda Security за България, а днес като златен партньор на WatchGuard® – световен лидер в решенията за сигурност, Антивирус БГ предлага пълна гама от решения и продукти за защита на информационната инфраструктура и активи от злонамерени действия и атаки, както и средства за защита на крайни устройства и неприкосновеност на лични или служебни данни.

Facebook Linkedin

Услуги

Продукти

Грижа за клиента

Доверие