Продвинутые угрозы становятся постоянной проблемой для компаний в эти дни, и часто, брать вопрос в их собственные руки недостаточно, чтобы предотвратить информационные утечки и кибератаки.

Среди векторов нападения, усиленных угрозой, актеры - личные устройства сотрудников, используемых независимо от BYOD и политики приложения компании; однако, подготовки мер, которые ограничили бы точки входа в системы организации через личные устройства, недостаточно, чтобы держать преступников в страхе.

Команда позади фирмы безопасности Cyphort создала превентивный продукт, способный к обнаружению типа кибер инцидентов в компании и идентификации их операторов. Результат - распределенное решение программного обеспечения, которое может быть развернуто “меньше чем через 20 минут на в широком масштабе чешуйчатых предприятиях”, говорят CTO и соучредитель Али Голшен.

Продукт полагается на машинное обучение, чтобы не отставать от эволюции угроз на основе индикаторов вторжения, которая позволяет адаптацию к новым методам, используемым, чтобы поставить данные компании под угрозу.

Энтони Джеймс, вице-президент Маркетинга и продуктов в Cyphort, предлагаемом в интервью некоторое интересное понимание на том, что предприятия могут сделать, чтобы охранять от несанкционированного доступа до чувствительных областей их сети.

Он также обеспечивает краткий анализ особенностей продвинутых постоянных угроз и последней тенденции в усилении их злонамеренными противниками.

Насколько опасный слабая политика BYOD?

В сущности слабая политика BYOD увеличит полное положение риска организации. Но то же может быть сказано относительно любой слабой политики безопасности.

Из того, что мы видели, поведение пользователя так же очень важно как целостность устройства, и даже если устройство правильно настроено, если это может все еще быть заражено вредоносным программным обеспечением, которое может изменить его настройки.

Нападения в эти дни сложны к пункту, где сотрудник, использующий корпоративное устройство, может посетить «одобренный» веб-сайт, и даже если они ни на что не нажимают, они могут невольно стать зараженными и возвратить ту инфекцию в организацию. Вот почему важно понять, что это не устройство – это - содержание, которое эксплуатирует пользователя/устройство. И вот почему – именно поэтому непрерывный контроль так важен – он позволяет службам безопасности сосредоточиться одинаково на сдерживании и исправлении, в дополнение к обнаружению.

Большинство времен, сотрудники не уважают строгую политику BYOD; то, что может быть сделано, чтобы удостовериться, что стандарт безопасности компании, насколько использование личных устройств идет, уважают? Ограничивает личные приложения в месте работы хорошее решение по обеспечению безопасности?

Снова – это не так об устройстве так же как содержание. Сильная политика BYOD (по крайней мере, по-моему) лучше, чем слабая, но она не будет отрицать потребность в других средствах управления.

Разногласия выступают за мотивированного и квалифицированного нападавшего, находящего их путь на сеть их цели. В то время как слабая политика BYOD могла возможно привести к дополнительным точкам входа для нападавшего, пользовательское устройство не неотъемлемо легче эксплуатировать тогда корпоративное находящееся в собственности устройство.

До ограничения личных приложений на рабочем месте – точно так же, как хорошо продуманная политика BYOD может быть огромным активом, хорошая политика приложения - также. Однако интересно достаточно, мы должны все же видеть, что основные нарушения происходят на пути мобильные – по крайней мере, еще. На самом деле часто нападавшие ищут слабые места в более старом, неясном корпоративном программном обеспечении – проживающий на универсальных ЭВМ и т.п..

Как предприятия могут защитить себя от продвинутых угроз, которые достигают систем компании через устройства сотрудника?

В то время как пользователи продолжают быть самой слабой связью в безопасности предприятия, это происходит главным образом из-за их поведения, не их устройств. На самом деле, несмотря на широко распространенное образование о фишинге, это все еще остается одним из главных способов, которыми вредоносное программное обеспечение проникает через корпоративную сеть.

Умный директор по ИТ-безопасности понимает, что, учитывая природу сегодняшнего пейзажа угрозы, их организация будет нарушенной и сосредоточила их усилия на проверке, что они имеют в распоряжении инструменты и процессы, чтобы определить и содержать угрозы в сети.

Один из самых эффективных способов, которыми организация может закрыть нападения, которые нашли их путь в через устройство, находящееся в собственности сотрудников или некоторый другой метод, состоит в том, чтобы активно искать их через непрерывный сетевой контроль.

Поскольку сегодняшние сети - настолько сложный, сетевой контроль, должен быть максимально автоматизирован. Иначе руководители службы безопасности проведут беспорядочное количество времени, вручную коррелирующее разведку угрозы против изобилия событий, обнаруженных их внутренними системами. Такая корреляция - чрезвычайно трудоемкая задача – та, которая вполне откровенно говоря, лучше подходит для компьютеров, чем люди.

И, Вы должны контролировать поступающий И коммуникабельный трафик. Мы нашли это из-за природы их предыдущих инвестиций в безопасность (таких как брандмауэры и AV, например), у большинства компаний есть больше и лучшие средства управления для контроля поступающего трафика. В результате они не обращают достаточно близко внимание к тому, что ОСТАВЛЯЕТ сеть. Исходящий трафик на известные плохие места или на неизвестные места с небольшими репутационными данными является двумя очень очевидными знаками, что есть СПОСОБНОЕ где-нибудь в сети.

Нельзя сказать организации не должны беспокоиться средствами управления конечной точкой – они должны. Но особенно если компания хочет извлечь выгоду из BYOD, возможности, они не собираются укреплять личные устройства сотрудников до крайности, или пользователи, вероятно, отключат средства управления безопасностью. Или, если они не делают, тогда политика BYOD достаточно строга, что положение безопасности пользовательских устройств - те из корпоративных устройств, делая их не больше вектор угрозы, чем корпоративный ноутбук или рабочий стол.

Но снова – так же, как Вы хотите препятствовать тому, чтобы плохие парни вошли, Вы хотите сделать равный акцент на сети, контролирующей, чтобы препятствовать тому, чтобы конфиденциальные данные вышли.

Каковы особенности Продвинутой Постоянной Угрозы? Векторы угрозы и принцип работы нападавших изменились в последнее время? Если так, как?

Есть много различных определений СПОСОБНЫХ, но в терминах неспециалиста, продвинутая постоянная угроза (APT) - сетевое нападение, в котором посторонний человек получает доступ к сети и остается там необнаруженным в течение длительного периода времени, обычно чтобы украсть (или «экс-фильтрат») информацию. СПОСОБНЫЕ нападения предназначаются для организаций в секторах с информацией о высокой стоимости, таких как национальная оборона, производство и финансовая индустрия.

В простом нападении злоумышленник пытается войти и выйти как можно быстрее, чтобы избежать обнаружения.

В СПОСОБНОМ нападении, однако, цель не состоит в том, чтобы войти и выйти, но достигнуть продолжающегося доступа. Чтобы поддержать доступ без открытия, злоумышленник должен непрерывно переписывать кодекс и использовать сложные методы уклонения. Некоторые APTs так сложны, что они требуют полностью занятого администратора.

СПОСОБНЫЙ нападавший часто использует рыбалку копья, тип социальной инженерии, чтобы получить доступ к сети через законные средства. Как только доступ был достигнут, есть много способов, которыми он может достигнуть того, что он намеревался делать.

Так, таким образом, три главных особенности СПОСОБНОГО:

1) Они закодированы способом, который позволяет им пройти через статические средства управления безопасностью, такие как брандмауэры, системы AV и Безопасные веб-Ворота.

2) Они разработаны, чтобы пойти на компромисс и система конечного пользователя способом, которая “находится под покрытиями”, и ищите очень определенные данные – такие как пользовательские верительные грамоты, в целях кражи данных организации

3) Как только они находят информацию, которую они хотят украсть, они крадут ее – процесс передачи тех данных вне сети обычно упоминается в кругах безопасности как экс-фильтрация.

До недавних изменений в пейзаже: Мы видели тенденцию далеко от инфицирования документов инфицированию веб-контента как часть нападения «на автомобиле», которое заражает пользователей, получающих доступ к веб-контенту без них имеющий необходимость сделать что-либо (те, которые нажимают на ссылку или вводят информацию в веб-форму).

В недалеком прошлом было много вредоносного программного обеспечения, включаемого в PDFs, потому что они широко используются и будут «одобрены» системами AV и брандмауэрами для входа в сеть.

В последнее время мы видели тенденцию далеко от PDFs и к другим формам файла, таким как Silverlight или JAVA – контролирующий JAVA для передовых нападений трудный, потому что JAVA не простой файл, чтобы просмотреть для нападений – это предназначается, чтобы быть интерактивным, таким образом, всегда есть большая деятельность, связанная с ними, и аномалии идентификации занимают время.

Получил бы доступ к базе данных с векторами угрозы, их поведение, индикаторы компромисса, активы, явившиеся объектом желания нападавших и слабых мест, усиленных актерами угрозы, помогают компаниям увеличить защиту своей информации? Как компании по обеспечению безопасности могли поддержать такую базу данных и чему они извлекли бы выгоду из нее?

Короткий ответ: Абсолютно!

Разведка угрозы - быстро развивающаяся область, и есть много различных способов, которыми организация может купить и потреблять разведку угрозы. Поскольку это - такая специализированная функция, большинство организаций покупает разведку угрозы от продавца разведки угрозы. Иногда, это компании по обеспечению безопасности, которые предоставляют угрозе Intel в дополнение к другим услугам, которые они предлагают, или иногда это - единственная услуга, которую они предлагают. Одна модель не обязательно лучше, чем другой – итог - то, что, чем больше, который известен о побуждениях нападавших и методах, тем лучше Вы можете защитить свои собственные активы.

Все поддерживают их информацию по-другому, но для примеров того, что это могло бы быть похожим на выезд СВИДЕТЕЛЬСТВО или БЕЗ мест. Ключ должен удостовериться, что информация представлена способом, что организации могут понять и обратиться ежедневно.

На самом деле одно огромное преимущество, которое плохие парни имеют по хорошим парням, состоит в том, что они - путь, более вероятный и готовый разделить разведку друг с другом. Продавцы безопасности склонны жаждать разведки угрозы, потому что они считают его их IP. Тот ответ пищеварительного тракта со стороны продавцов безопасности, чтобы защитить их IP приводит к отсутствию совместного пользования информацией через промышленность, которая делает защиту тяжелее. 9/11 - худший вариант того, что может следовать из такой культуры. Мы полагаем очень сильно что, чем больше информации организация имеет, тем лучшие решения они могут принять. Мы готовы разделить нашу разведку угрозы с нашими технологическими партнерами. На самом деле мы автоматизировали ту способность в наш продукт.

Как быстро продукты безопасности становятся устаревшими, и каково было бы решение для компаний, чтобы держать темп с новой технологией и снижением происходящих рисков?

Технология не обязательно становится устаревшей – брандмауэры являются все еще самыми большими, тратят в безопасности, и им больше чем 20 лет. Специалисты по безопасности проблемы сталкиваются, то, что пейзаж угрозы развивается так быстро, что трудно знать, какие новые технологии требуются, чтобы оставаться актуальными.

Зная, что есть деньги, которые будут сделаны, киберпреступность привлекла новый класс квалифицированных преступников, которые пишут новые и лучшие нападения. Поскольку новые технологии и заявления развернуты, те становятся новыми целями.

Это много, чтобы не отставать, и так же, как нападения вводят новшества наряду с технической промышленностью в целом, предотвращение - также. Отделы безопасности IT должны не отставать от состояния.

Например, Intrusion Detection Systems (IDS) когда-то считались состоянием для обнаружения нарушений. Тогда системы IDS развились, чтобы включать автоматизированное исправление, которое стало известным как Intrusion Prevention Systems (IPS), которая тогда заменила IDS в качестве состояния. Теперь APTs - грандиозное предприятие, и есть специализированные наборы решений, которые имеют дело конкретно с APTs. Таким образом, компания, которая, возможно, уже инвестировала миллионы в ее инфраструктуре безопасности, должна будет все еще сделать дополнительные инвестиции, чтобы усовершенствовать их обороноспособность.

Это не означает, что их существующая инфраструктура устаревшая – просто, что они должны быть увеличены.