Предотвращение, сдерживание, восстановление:руководство по готовности к программам-вымогателям для цепочек поставок
Программы-вымогатели были в центре внимания многих из нас, работающих в индустрии кибербезопасности, поскольку мы наблюдаем рост числа атак, затрагивающих сети больниц, органы местного самоуправления и более широкую цепочку поставок. Атака программ-вымогателей обычно приводит к потере доступа к данным и системам на определенный период времени и имеет финансовые последствия в виде потери дохода и денег, потраченных на восстановление. Когда атака программы-вымогателя направлена на компанию, которая является частью цепочки поставок, она может иметь гораздо более широкие последствия, поскольку всего один поставщик услуг может иметь прямое воздействие на сотни или тысячи компаний.
Понимание готовности вашей организации к угрозе программ-вымогателей является обязательным, а знание того, как поставщики в вашей цепочке поставок влияют на вашу готовность, является важной частью вашей общей стратегии.
Попытки обеспечить прикрытие всех ваших средств защиты и сделать все возможное, чтобы предотвратить или уменьшить влияние атаки вымогателя, могут быть непосильными. Сильная стратегия носит далеко идущий и многоуровневый характер и включает в себя архитектуру, конечные точки, пользователей и многое другое.
Так с чего же начать? Структурированный, логический подход может помочь навести порядок в понимании готовности вашей организации к программам-вымогателям. Чтобы помочь в этом, давайте рассмотрим три основные категории:предотвращение, сдерживание и восстановление.
Профилактика
Наша основная цель - не допустить попадания программ-вымогателей в нашу среду, не допуская их проникновения с самого начала. С этой защитной позиции нам нужно смотреть на вашу инфраструктуру от элементов управления периметром до конечных пользователей. Хотя мы могли бы подробно осветить эту тему, мы сосредоточим наше внимание на пробелах, в которые чаще всего внедряются программы-вымогатели.
- Протокол удаленного рабочего стола (RDP). Хотя протокол RDP не является новой технологией или новым вектором атаки, он регулярно становится целью из-за уязвимостей, неправильной конфигурации или восприимчивости к атакам методом грубой силы. В связи с недавним увеличением количества удаленных сотрудников и соответствующим увеличением использования RDP, злоумышленники получают много сил с новыми целями. Действия по предотвращению включают ограничение количества открытых портов, строгий контроль аутентификации (включая многофакторную аутентификацию) и надежную программу управления уязвимостями.
- Фишинг . Фишинговые электронные письма могут быть особенно опасными, поскольку они могут обойти многие из ваших мер безопасности, позволяя доставлять вредоносный контент непосредственно тому, что чаще всего является вашим самым слабым звеном безопасности - конечному пользователю. Фишинговые электронные письма обычно пытаются получить учетные данные пользователя или содержат вредоносные вложения или ссылки, в конечном итоге предоставляя злоумышленникам прямой путь в вашу среду. Мероприятия по предотвращению включают использование решения для защиты электронной почты, обучение конечных пользователей по безопасности и осведомленности, а также решения для обнаружения и реагирования конечных точек.
В конечном итоге рекомендуемые методы профилактики не новы. Это те же ключевые принципы, которые сообщество по информационной безопасности обсуждает в течение некоторого времени - ограничение доступа к Интернету, сканирование уязвимостей, исправление и строгий контроль аутентификации.
Сдерживание
Таким образом, несмотря на все ваши усилия, программы-вымогатели проникают в вашу среду. Как можно остановить распространение? Рассмотрим пожар в здании:стратегия сдерживания предшествует фактическому возгоранию за счет использования брандмауэров, огнестойких материалов и т. Д. То же самое и с атаками, такими как программы-вымогатели. Вот две ключевые стратегии сдерживания:
- Использование привилегированной учетной записи . Злоумышленники любят атаковать привилегированные учетные записи, поскольку они обеспечивают высокий уровень доступа к системам и данным, а также необходимые разрешения для выполнения вредоносного кода. Повторное использование паролей, пароли сервисных учетных записей, хранящиеся в виде открытого текста, легко угадываемые пароли и т. Д. - все это распространенные проблемы, способствующие компрометации учетной записи.
Ключевым моментом здесь является целостный подход к управлению привилегированными учетными записями. Это включает понимание того, какие у вас есть привилегированные учетные записи и к чему у них есть доступ; как они используются (например, администратор домена или учетная запись службы); и как осуществляется доступ к этим учетным записям и управление ими (например, использование решения для управления привилегированными учетными записями).
- Сегментация сети . Плоские сети - мечта злоумышленника. После получения учетных данных они могут свободно перемещаться по всей сети организации и иметь неограниченный доступ к системам и данным. Как минимум, вы должны использовать сегментацию, чтобы максимально ограничить боковое перемещение, чтобы злоумышленнику было гораздо труднее пройти по вашей сети и получить доступ к дополнительным системам и данным.
Восстановление
Помимо плана реагирования на инциденты, наиболее важным планом, который поможет в ваших усилиях по восстановлению, является план обеспечения устойчивости бизнеса. Как бизнес будет продолжать функционировать? Тщательный план обеспечения отказоустойчивости поможет восстановить функциональность ваших основных бизнес-систем.
Общие векторы атак для организаций включают сторонних поставщиков в цепочке поставок. Итак, как мы можем выявить и снизить риски, которые представляют наши поставщики? Во-первых, ответьте на эти важные вопросы:
- Кто ваши поставщики?
- Какие услуги каждый поставщик предоставляет вашей организации?
На самом деле определить, кто ваши поставщики, - непростая задача. Возможно ли, что у вас есть поставщики, которые имеют доступ к вашей сети или данным, а вы об этом не знаете? Абсолютно. Реальность такова, что существует возможность напрямую перейти к облачному решению, и не более, чем кредитной картой и несколькими щелчками мыши, теперь у вас есть поставщик, имеющий доступ к вашим данным. Если вы не знаете, кто они, невозможно оценить их риск для вашей организации. Что касается того, что они делают, поставщики в вашей цепочке поставок могут оказывать всевозможные услуги. Некоторые по своей сути представляют более высокий риск для вашей компании из-за данных или внутренних систем, к которым у них есть доступ.
Ответы на эти вопросы - отличная отправная точка для проведения адекватной оценки в отношении этих поставщиков. Цель состоит в том, чтобы добиться достаточного комфорта, чтобы у поставщиков были соответствующие средства управления для защиты ваших систем или данных на основе услуг, которые они вам предоставляют. Существует множество стратегий оценки, которые можно использовать, включая обзор сертификатов, таких как SOC или ISO, оценочные анкеты, такие как SIG, результаты тестов на проникновение и т. Д. Независимо от того, как вы подходите к этому, проверка наличия этих средств контроля у ваших поставщиков может снизить риск ваша организация пострадает в случае атаки.
По мере того, как системы становятся более связными и сложными, злоумышленники все еще могут найти способ преодолеть вашу защиту. Но подготовка к атаке программ-вымогателей может значительно снизить воздействие и простои вашей организации. Благодаря стратегии глубокой защиты, а также соответствующим планам сдерживания и отказоустойчивости киберсила вашей организации может только возрасти.
Гэри Брикхаус - главный специалист по информационной безопасности GuidePoint Security.
Программы-вымогатели были в центре внимания многих из нас, работающих в индустрии кибербезопасности, поскольку мы наблюдаем рост числа атак, затрагивающих сети больниц, органы местного самоуправления и более широкую цепочку поставок. Атака программ-вымогателей обычно приводит к потере доступа к данным и системам на определенный период времени и имеет финансовые последствия в виде потери дохода и денег, потраченных на восстановление. Когда атака программы-вымогателя направлена на компанию, которая является частью цепочки поставок, она может иметь гораздо более широкие последствия, поскольку всего один поставщик услуг может иметь прямое воздействие на сотни или тысячи компаний.
Понимание готовности вашей организации к угрозе программ-вымогателей является обязательным, а знание того, как поставщики в вашей цепочке поставок влияют на вашу готовность, является важной частью вашей общей стратегии.
Попытки обеспечить прикрытие всех ваших средств защиты и сделать все возможное, чтобы предотвратить или уменьшить влияние атаки вымогателя, могут быть непосильными. Сильная стратегия носит далеко идущий и многоуровневый характер и включает в себя архитектуру, конечные точки, пользователей и многое другое.
Так с чего же начать? Структурированный, логический подход может помочь навести порядок в понимании готовности вашей организации к программам-вымогателям. Чтобы помочь в этом, давайте рассмотрим три основные категории:предотвращение, сдерживание и восстановление.
Профилактика
Наша основная цель - не допустить попадания программ-вымогателей в нашу среду, не допуская их проникновения с самого начала. С этой защитной позиции нам нужно смотреть на вашу инфраструктуру от элементов управления периметром до конечных пользователей. Хотя мы могли бы подробно осветить эту тему, мы сосредоточим наше внимание на пробелах, в которые чаще всего внедряются программы-вымогатели.
- Протокол удаленного рабочего стола (RDP). Хотя протокол RDP не является новой технологией или новым вектором атаки, он регулярно становится целью из-за уязвимостей, неправильной конфигурации или восприимчивости к атакам методом грубой силы. В связи с недавним увеличением количества удаленных сотрудников и соответствующим увеличением использования RDP, злоумышленники получают много сил с новыми целями. Действия по предотвращению включают ограничение количества открытых портов, строгий контроль аутентификации (включая многофакторную аутентификацию) и надежную программу управления уязвимостями.
- Фишинг . Фишинговые электронные письма могут быть особенно опасными, поскольку они могут обойти многие из ваших мер безопасности, позволяя доставлять вредоносный контент непосредственно тому, что чаще всего является вашим самым слабым звеном безопасности - конечному пользователю. Фишинговые электронные письма обычно пытаются получить учетные данные пользователя или содержат вредоносные вложения или ссылки, в конечном итоге предоставляя злоумышленникам прямой путь в вашу среду. Мероприятия по предотвращению включают использование решения для защиты электронной почты, обучение конечных пользователей по безопасности и осведомленности, а также решения для обнаружения и реагирования конечных точек.
В конечном итоге рекомендуемые методы профилактики не новы. Это те же ключевые принципы, которые сообщество по информационной безопасности обсуждает в течение некоторого времени - ограничение доступа к Интернету, сканирование уязвимостей, исправление и строгий контроль аутентификации.
Сдерживание
Таким образом, несмотря на все ваши усилия, программы-вымогатели проникают в вашу среду. Как можно остановить распространение? Рассмотрим пожар в здании:стратегия сдерживания предшествует фактическому возгоранию за счет использования брандмауэров, огнестойких материалов и т. Д. То же самое и с атаками, такими как программы-вымогатели. Вот две ключевые стратегии сдерживания:
- Использование привилегированной учетной записи . Злоумышленники любят атаковать привилегированные учетные записи, поскольку они обеспечивают высокий уровень доступа к системам и данным, а также необходимые разрешения для выполнения вредоносного кода. Повторное использование паролей, пароли сервисных учетных записей, хранящиеся в виде открытого текста, легко угадываемые пароли и т. Д. - все это распространенные проблемы, способствующие компрометации учетной записи.
Ключевым моментом здесь является целостный подход к управлению привилегированными учетными записями. Это включает понимание того, какие у вас есть привилегированные учетные записи и к чему у них есть доступ; как они используются (например, администратор домена или учетная запись службы); и как осуществляется доступ к этим учетным записям и управление ими (например, использование решения для управления привилегированными учетными записями).
- Сегментация сети . Плоские сети - мечта злоумышленника. После получения учетных данных они могут свободно перемещаться по всей сети организации и иметь неограниченный доступ к системам и данным. Как минимум, вы должны использовать сегментацию, чтобы максимально ограничить боковое перемещение, чтобы злоумышленнику было гораздо труднее пройти по вашей сети и получить доступ к дополнительным системам и данным.
Восстановление
Помимо плана реагирования на инциденты, наиболее важным планом, который поможет в ваших усилиях по восстановлению, является план обеспечения устойчивости бизнеса. Как бизнес будет продолжать функционировать? Тщательный план обеспечения отказоустойчивости поможет восстановить функциональность ваших основных бизнес-систем.
Общие векторы атак для организаций включают сторонних поставщиков в цепочке поставок. Итак, как мы можем выявить и снизить риски, которые представляют наши поставщики? Во-первых, ответьте на эти важные вопросы:
- Кто ваши поставщики?
- Какие услуги каждый поставщик предоставляет вашей организации?
На самом деле определить, кто ваши поставщики, - непростая задача. Возможно ли, что у вас есть поставщики, которые имеют доступ к вашей сети или данным, а вы об этом не знаете? Абсолютно. Реальность такова, что существует возможность напрямую перейти к облачному решению, и не более, чем кредитной картой и несколькими щелчками мыши, теперь у вас есть поставщик, имеющий доступ к вашим данным. Если вы не знаете, кто они, невозможно оценить их риск для вашей организации. Что касается того, что они делают, поставщики в вашей цепочке поставок могут оказывать всевозможные услуги. Некоторые по своей сути представляют более высокий риск для вашей компании из-за данных или внутренних систем, к которым у них есть доступ.
Ответы на эти вопросы - отличная отправная точка для проведения адекватной оценки в отношении этих поставщиков. Цель состоит в том, чтобы добиться достаточного комфорта, чтобы у поставщиков были соответствующие средства управления для защиты ваших систем или данных на основе услуг, которые они вам предоставляют. Существует множество стратегий оценки, которые можно использовать, включая обзор сертификатов, таких как SOC или ISO, оценочные анкеты, такие как SIG, результаты тестов на проникновение и т. Д. Независимо от того, как вы подходите к этому, проверка наличия этих средств контроля у ваших поставщиков может снизить риск ваша организация пострадает в случае атаки.
По мере того, как системы становятся более связными и сложными, злоумышленники все еще могут найти способ преодолеть вашу защиту. Но подготовка к атаке программ-вымогателей может значительно снизить воздействие и простои вашей организации. Благодаря стратегии глубокой защиты, а также соответствующим планам сдерживания и отказоустойчивости киберсила вашей организации может только возрасти.
Гэри Брикхаус - главный специалист по информационной безопасности GuidePoint Security.
Промышленные технологии
- Гибридное определение спроса:подготовка цепочек поставок к неопределенным временам
- Станет ли эпидемия коронавируса сигналом тревоги для глобальных цепочек поставок?
- Для глобальных цепочек поставок поднята планка отчетности о выбросах
- ИИ может помочь сделать цепочки поставок устойчивыми
- Вот как розничные торговцы восстановят свои цепочки поставок
- Конец цепочки поставок из одного источника
- Создание более эффективных цепочек поставок на будущее
- Четыре урока после пандемии для цепочек поставок электронной коммерции
- Новая дорожная карта для цепочек поставок нефти и газа
- Создание более устойчивых глобальных цепочек поставок