Najnowsze badania przedsiębiorstw zajmujących się cyberbezpieczeństwem wskazują na to, że ilość cyberataków w 2020 r. wzrosła w porównaniu z poprzednimi latami. Wzrost cyberprzestępczości ma między innymi związek z powstaniem RaaS (Ransomware-as-a-Service), ale również w dużej części przez to. że wzajemne powiązania między grupami przestępczymi są mocniejsze. Zawiązując sojusze poszerzają one swój zasięg, zwiększają siłę ataków i stosują zaawansowane taktyki ataków.
Dzięki silnym produktom zabezpieczającym, liczne popularne techniki i taktyki wykorzystywane przez cyberprzestępców są względnie proste do obrony. Z drugiej strony przedsiębiorstwa są w dalszym ciągu podatne na powszechnie wykorzystywane taktyki. Prowadzenie proaktywnej i nowoczesnej polityki bezpieczeństwa jest więc niezbędne, aby wykrywać i zapobiegać cyberatakom w 2020 r.
Dlatego też eksperci ds. cyberbezpieczeństwa Infradata stworzyli podsumowanie kilku niezbędnych zasad, które pomogą Ci w 2020 r. prowadzić silną i udaną politykę bezpieczeństwa.
1. Nie zapominaj o bazie serwisowej cyberbezpieczeństwa
Podstawowe zasady świadomości użytkowników („user awareness”), bezpieczne konfiguracje, jak również zarządzanie aktywami i słabymi punktami są podstawą efektywnego i wykonalnego programu cyberbezpieczeństwa.
Organizacje muszą rewidować i poprawiać obowiązujące standardowe środki cyberbezpieczeństwa, takie jak:
- Kampanie świadomości cyberbezpieczeństwa i programy dla użytkowników. Każdego roku odkrywane są nowe taktyki cyberataków. Pomyśl o nowych formach oprogramowań szantażujących, phishingu i eskalacji uprawnień. Regularnie zwiększając świadomość użytkowników przez kompleksowe informacje o nowo odkrytych typach phishingu lub taktykach inżynierii społecznej, użytkownicy stają się świadomi nowoczesnych cyberzagrożeń i są w stanie wcześniej wykryć zagrożenia.
- Efektywne zarządzanie aktywami i inwentaryzacja oprogramowania mają krytyczne znaczenie dla badania w jaki sposób (oraz kiedy) organizacja będzie narażona na określone zagrożenia i jakie ślady cyfrowe po sobie pozostawia.
- Dobre zarządzanie słabymi punktami („Vulnerability management”) i poprawkami („patch management”) pomaga przy właściwym weryfikowaniu znanych już słabych punktów oraz identyfikacji, priorytetyzowaniu i zwalczaniu niebezpiecznych konfiguracji.
- Uwierzytelnianie wielopoziomowe (MFA) powinno zostać zaktywowane przez (lub dla) wszystkich użytkowników. Cyberprzestępcy za każdym razem udowadniają, że są w stanie w sprytny i szybki sposób uzyskać dostęp do poufnych danych. Prowadzi to szybko do poważniejszych form ataków. Dzięki MFA uzyskanie dostępu do systemów jest dla cyberprzestępców nieco trudniejsze.
- Poza MFA niezbędne są również procesy privileged access management (PAM). Ogranicza to zakres szkód, które mogą zostać wyrządzone, jeśli osoba z zewnątrz uzyska dostęp. Ograniczona zostaje również szansa na rozproszenie szkodliwych wirusów i/lub oprogramowania do innych systemów.
- Wprowadzenie ochrony hasłem w celu zapobiegania odinstalowaniu ochrony punktów końcowych instalacji. Najlepsze rozwiązania Eindpoint Security gwarantują wspaniały wgląd i profilaktykę krytyczną. Największym priorytetem cyberprzestępców jest odinstalowanie rozwiązań Eindpoint Security, aby zapobiec pozostawianiu przez nich śladów cyfrowych.
2. Turn it on: W optymalny sposób wykorzystuj wszystkie Narzędzia Bezpieczeństwa
Zbyt często funkcje profilaktyczne systemu Endpoint Security i innych rozwiązań bezpieczeństwa ustawione są na tryb „monitorowania”. Robi się tak często, ponieważ administratorzy boją się, że niektóre rozwiązania mogą wstrzymać usługi biznesowe, lub ponieważ boją się zbyt wielu potencjalnych fałszywych alarmów.
W wyniku tego udaje się wiele ataków, które w łatwy sposób mogłyby zostać zablokowane. Zadbaj więc o to, żeby włączone były wszystkie narzędzia bezpieczeństwa, które umożliwiają profilaktykę i blokowanie. Najbardziej podstawowe funkcje takie jak uczenie maszynowe, włączone funkcje profilaktyczne i kwarantanny są coraz bardziej efektywne w zatrzymywaniu częstych technik wykorzystywanych przez organizacje przestępcze. W taki sposób popularne narzędzia takie jak TrickBot (złośliwe oprogramowanie) oraz Ryuk (oprogramowanie szantażujące) są efektywnie blokowane przez dostępne produkty zabezpieczające punkty końcowe. Ponadto znane wskaźniki kompromisów („Known indicators of Compromise”) blokują na poziomie sieci łatwe techniki połączenia z C2 oraz ściągania jako kolejne fazy ataku.
3. Skoncentruj się na więcej niż jednym złośliwym oprogramowaniu: wzmocnij bezpieczeństwo przed nowoczesnymi cyberatakami.
Im bardziej zaawansowane ataki, tym częstsze są problemy przedsiębiorstw z więcej niż jednym problemem ze złośliwymi oprogramowaniami. Zespoły IT Security muszą szukać już wczesnych sygnałów i ostrzeżeń, które mogą wskazywać na atak, takich jak egzekucja kodu, czas trwania, stealth, command control i ruch poprzeczny w sieci. Zwyczajowe technologie ochrony w głąb („defence-in-depth”) mogą nie być w stanie wyłapać lub zaadresować tych sygnałów.
Wraz z powstaniem technologii analizy kontekstowej i behawioralnej w rozwiązaniach zabezpieczających, które często dostarczane są w czasie rzeczywistym przez nauczanie maszynowe i sztuczną inteligencję, tego typu ataki są szybko wykrywane i zatrzymywane. Możliwość wykonywania analizy na podstawie kontekstu i zachowania są istotnymi punktami dla rozwiązań bezpieczeństwa, które możesz rozważyć w 2020 r.
4. Survival of the Fastest: Rozpocznij wyzwanie 1-10-60
Ważną jednostką dla zespołów ochrony są tzw. breakout times. Breakout time wskazuje czas, który potrzebny jest do rozpoczęcia ruchów poprzecznych w środowisku od momentu wtargnięcia. Przy średnim czasie „breakout time” wynoszącym zaledwie kilka godzin do powstania cyberzagrożenia, istotne jest dążenie do zasady 1-10-60.
Zasada 1-10-60 oznacza, że dążysz do:
- wykrycia wtargnięcia w ciągu minuty,
- rozpoczęcia pełnego badania w ciągu 10 minut od wtargnięcia,
- usunięcia zagrożenia ze środowiska w ciągu 60 minut.
Przedsiębiorstwa, które trzymają się zasady 1-10-60, będą miały w 2020 r. większą szansę na neutralizację ataków, jeszcze zanim zdążą się one rozprzestrzenić z miejsca, przez które wtargnęły. W ten sposób zminimalizowany zostaje ich wpływ i zapobiega się eskalacji problemu.
Spełnienie tej zasady w 2020 r. może być wyzwaniem dla wielu przedsiębiorstw. Wymaga ona zainwestowania w narzędzia uzyskania głębokiej widoczności („deep visibility”) dla automatycznego wykorzystania rozwiązań wykrywania sygnałów alarmowych i bezpieczeństwa, które pokryją całą organizację. Narzędzia analizy zagrożeń („Threat analysis tools”) oraz Endpoint Detection & Respons z pewnością pomogą zespołom bezpieczeństwa, aby szybciej zgłębić naturę zagrożenia i podjąć odpowiednie kroki.
5. Współpracuj z partnerem od cyberbezpieczeństwa, który dostarczy Ci brakujących kompetencji.
Dla każdej organizacji kuszącym jest skupienie się głównie na technologii, która pomoże rozwiązać częste wyzwania w zakresie cyberbezpieczeństwa. Jednakże za każdym razem cyberataki udowadniają, że aby osiągnąć wysoki i efektywny poziom bezpieczeństwa, bardzo istotne jest nie tylko posiadanie oprogramowania i sprzętu, ale również profesjonalistów od cyberbezpieczeństwa będących na miejscu. Z drugiej strony ciężko jest znaleźć zaangażowanych, efektywnych i doświadczonych ekspertów. Ponadto są oni bardzo drodzy.
Dlatego też przedsiębiorstwa często szukają partnerów z certyfikowanymi i utalentowanymi ekspertami, których usługi uzupełnione są czasem przez przejęcie Manager Security i SOC. Posiadanie partnera od cyberbezpieczeństwa jest również jednym z punktów wartych uwagi, ponieważ może to w efektywny pod względem kosztów sposób pomóc w codziennej sygnalizacji, wykrywaniu i zwalczaniu cyberzagrożeń.