В настоящее время, когда бизнес активно развивается в цифровом пространстве, компании сталкиваются с целым спектром угроз, причем каждая из них может привести к катастрофическим последствиям для организации, начиная от банального фишинга и заканчивая изощренными вредоносными программами, например, популярными шифровальщиками: они способны нанести существенный урон информационной инфраструктуре. Но все же наряду со всем этим спектром угроз настоящий удар под дых для бизнеса — это zero-day-атаки.
Как их предотвратить, порталу «Риск-менеджмент. Практика» рассказал инженер-аналитик лаборатории стратегического развития компании «Газинформсервис» Михаил Спицын.
Zero-day-атаки — это вид атак, использующих уязвимости в программном обеспечении (ПО), которые до определенного момента остаются незамеченными как для разработчиков, так и для специалистов по информационной безопасности. В неподходящий момент эти критические слабые места в ПО могут быть найдены и безжалостно использованы умелыми злоумышленниками для получения несанкционированного доступа к корпоративным системам и конфиденциальным данным, что ставит под серьезную угрозу безопасность и репутацию организаций.
Ключевой особенностью таких атак является тот факт, что разработчики программного обеспечения с большей долей вероятности не имеют информации об этих уязвимостях и, соответственно, не успели выпустить необходимые обновления для их устранения, что делает системы особенно уязвимыми перед лицом целенаправленных атак. В связи с этим возникает острая необходимость разработки и внедрения эффективных механизмов раннего обнаружения подобных уязвимостей, позволяющих своевременно реагировать на потенциальные угрозы и минимизировать риски возможных негативных последствий.
Для создания надежной системы кибербезопасности, способной эффективно противостоять zero-day-атакам, необходимо организовать управление активами как ключевую составляющую защиты. Классификация цифровых активов по степени критичности позволяет определить наиболее уязвимые элементы инфраструктуры, с учетом ценности обрабатываемых данных и возможных рисков для бизнеса. Это позволяет эффективно расставить приоритеты и направить ресурсы на защиту наиболее важных компонентов.
Следующим этапом является расчет стоимости простоя для каждого актива. Важно учитывать не только прямые финансовые потери, связанные с выходом из строя оборудования или недоступностью сервисов, но и косвенные издержки, такие как репутационный ущерб, упущенную выгоду и возможные штрафы за нарушение нормативных требований. Своевременная и точная оценка стоимости простоев помогает обоснованно распределить бюджет на внедрение эффективных систем обнаружения zero-day-уязвимостей, а также поведенческой аналитики (UEBA — User and Entity Behavior Analytics) и регулярные аудиты безопасности.
Если говорить об эффективных системах обнаружения zero-day, то сегодня существуют решения, которые могут изолировать веб-ресурсы внутри одноразового контейнера, полностью отделенного от компьютера конечного пользователя и корпоративной сети.
В результате любые веб-страницы и приложения, которые могут содержать вредоносный код, не имеют прямого доступа к данным пользователя или корпоративной инфраструктуре, а это особенно важно при работе с неизвестными или потенциально опасными веб-ресурсами, где невозможно заранее идентифицировать угрозы. По завершении сессии контейнер уничтожается, исключая возможность сохранения вредоносных программ или следов их активности в памяти системы. Таким образом, RBI (Remote Browser Isolation) эффективно нейтрализует угрозы, которые могут проникать через уязвимости в браузерах и других веб-приложениях, снижая риски заражения вредоносным ПО, включая ransomware и другие типы атак, использующие нулевые уязвимости.
Далее SIEM-системы (Security Information and Event Management) обеспечивают сбор, нормализацию, корреляцию и анализ событий безопасности, помогая выявлять угрозы и реагировать на них в реальном времени. Одним из важнейших аспектов является автоматическая инвентаризация цифровых активов, позволяющая отслеживать все изменения в инфраструктуре организации, включая новые активы, которые могут стать мишенью для атак. Этот процесс позволяет создать полную картину сети и оперативно реагировать на ее изменения, что крайне важно при защите от угроз, таких как zero-day-атаки. Управление активами способствует улучшению контроля над инфраструктурой и повышению эффективности расследования инцидентов.
Для эффективной митигации zero-day-атак необходимо использовать комплексный подход, включающий различные решения, которые обеспечивают защиту на разных уровнях. RBI гарантирует безопасность веб-активности, изолируя подозрительные ресурсы в контейнерах, предотвращая распространение вредоносных программ в сеть. UEBA помогает обнаруживать аномальные действия пользователей, предсказывая и предотвращая атаки через поведенческий анализ. SIEM и IDM (Internet Download Manager) играют ключевую роль в мониторинге и управлении безопасностью, обеспечивая оперативное выявление угроз и контроль доступа.
Каждое из этих решений в сочетании с другими мерами безопасности создает многослойную защиту, которая минимизирует риски проникновения атак, финансовые и репутационные потери. Комплексный подход позволяет быстро реагировать на угрозы, выявлять и блокировать атаки до того, как они нанесут серьезный ущерб. Инвестиции в эти технологии позволяют не только защитить активы, но и сохранить репутацию компании, снижая вероятность серьезных последствий для бизнеса.
