Содержание статьи
Что такое кибербезопасность?
Подобно тому, как физическая безопасность направлена на защиту физического имущества и людей от преступной деятельности или случайного ущерба, кибербезопасность защищает компьютерные системы, серверные системы и приложения конечных пользователей, пользователей этих систем и данные, которые они хранят.
Кибербезопасность направлена на предотвращение доступа киберпреступников, злоумышленников и других лиц, причинения вреда, нарушения работы или изменения ИТ-систем и приложений.
Важность кибербезопасности
По мере того, как человеческое общество становится цифровым, все аспекты нашей жизни улучшаются с помощью сетей, компьютеров и других электронных устройств, а также программных приложений. Критически важная инфраструктура, включая здравоохранение, финансовые учреждения, правительства и производство, все используют компьютеры или интеллектуальные устройства в качестве основной части своей деятельности. Подавляющее большинство этих устройств подключено к Интернету.
У злоумышленников больше, чем когда-либо, стимулов для поиска способов проникновения в эти компьютерные системы для получения финансовой выгоды, вымогательства, политических или социальных мотивов (известных как хактивизм) или просто вандализма.
За последние два десятилетия кибератаки были совершены на критически важную инфраструктуру во всех развитых странах, и бесчисленное количество предприятий понесли катастрофические убытки. Ежегодно во всем мире происходит более 2000 подтвержденных утечек данных, каждая из которых стоит в среднем более 3,9 миллиона долларов (8,1 миллиона долларов в США). С 2000 года киберпреступники украли личную информацию более 3,5 миллиарда человек, т.е. половину населения мира.
Нарушения безопасности и угрозы могут затронуть практически любую систему, включая:
Независимо от того, является ли ваша организация бизнесом любого размера, веб-сайтом, получающим значительный трафик, или учреждением или некоммерческой организацией, обслуживающей общественные интересы, подготовка и защита от угроз кибербезопасности должны быть одной из ваших первоочередных задач.
Принципы кибербезопасности
Основная цель кибербезопасности - защитить данные. Сообщество безопасности обычно ссылается на треугольник из трех связанных принципов, обеспечивающих безопасность данных, известный как триада ЦРУ:
Триада ЦРУ определяет три ключевых принципа безопасности данных.
Для достижения целей ЦРУ организации должны защищать два аспекта своей ИТ-среды: безопасность приложений и безопасность данных.
Общие стратегии безопасности приложений
Безопасность приложений гарантирует, что пользовательские приложения защищены от проникновения или нарушения со стороны внешних угроз, атак на устройства, на которых размещено или используется приложение (конечные точки), а также внутренних угроз. Ниже приведены три наиболее распространенных стратегии безопасности приложений.
Защита от DDoS-атак
Распределенная атака типа «отказ в обслуживании» (DDoS) использует большое количество подключенных устройств, контролируемых злоумышленником, для перегрузки ресурсов веб-сайта поддельным трафиком. Из-за огромного масштаба сегодняшних DDoS-атак распространенной защитной мерой является облачная служба предотвращения DDoS - атак. Эти службы используют маршрутизацию DNS или BGP для перенаправления трафика на облачные серверы очистки, отбрасывая вредоносные запросы и перенаправляя законные на веб-сервер.
Брандмауэр веб-приложений
Брандмауэр веб-приложений (WAF) развертывается на границе сети в качестве обратного прокси-сервера, проверяет входящий и исходящий HTTP / S-трафик веб-приложения и фильтрует вредоносный трафик. WAF использует политики безопасности и данные аналитики угроз, такие как известные источники плохого трафика и известные шаблоны атак, чтобы определить, какой трафик не должен доходить до приложения.
Расширенная защита от ботов
Боты - это автоматизированные программы, которые выполняют действия через Интернет. Некоторые боты являются законными и должны иметь доступ к веб-сайту, в то время как другие являются вредоносными и могут использоваться для запуска автоматических атак. Управление ботами - это быстро развивающаяся область, которая защищает организации от плохих ботов с помощью баз данных репутации ботов, задач, которые проверяют, является ли бот реальным пользователем или нет, и поведенческого анализа, который выявляет подозрительное поведение ботов.
Общие стратегии безопасности данных
Безопасность данных гарантирует, что данные не могут быть доступны для внешних или неавторизованных внутренних сторон, выявляя риски для конфиденциальных данных и устраняя их, а также настраивая методы обнаружения для определения того, когда к данным обращаются, изменяются или удаляются субъекты угроз. Ниже приведены три распространенные стратегии защиты данных.
Маскировка данных
Многие утечки данных происходят не в производственных средах, а в средах тестирования или DevOps. Эти среды часто не защищены, но обычно загружаются оперативными конфиденциальными данными клиентов. Маскирование данных позволяет использовать реалистичные данные на тестовых серверах, а методы преобразования позволяют скрыть или зашифровать исходные данные.
Обнаружение уязвимости
Многие программные системы имеют известные уязвимости, которые могут быть использованы хакерами для взлома системы. Обнаружение уязвимостей - это процесс, основанный на базах данных уязвимостей, которые содержат сведения об известных уязвимостях. Это позволяет организации определять, какие системы подвержены уязвимостям, понимать серьезность и влияние, а также устранять уязвимости.
Endpoint Security
Количество конечных устройств в организациях стремительно растет. Существуют миллионы ноутбуков, мобильных устройств и устройств Интернета вещей (IoT-устройства), которые подключаются к Интернету и представляют растущую угрозу безопасности.
Безопасность конечных точек включает развертывание агента на каждой конечной точке, который может предоставлять такие возможности безопасности, как антивирус нового поколения (NGAV), для обнаружения атак нулевого дня и внутренних угроз, а также обнаружение и реагирование на конечные точки (EDR), чтобы помочь группам безопасности расследовать и блокировать атаки на конечных точках в реальном времени.
Распространенные киберугрозы
Сфера кибербезопасности сложна, с миллионами известных субъектов угроз и задокументированными тактиками, методами и процедурами (TTP), а также каждый день появляются новые типы атак. Вот несколько наиболее распространенных киберугроз, которым вы можете подвергнуться:
Разработка стратегии кибербезопасности
Решение проблемы кибербезопасности в вашей организации начинается со стратегии, которая должна поддерживаться высшим руководством и распространяться среди всей организации.
Вот процесс, который вы можете использовать для построения своей стратегии безопасности:
7 тенденций кибербезопасности
Ниже приведены важные тенденции в сообществе кибербезопасности, о которых вам следует знать, разрабатывая свою стратегию и выбирая набор инструментов.
1. Кибербезопасность и машинное обучение
В прошлом системы кибербезопасности полагались на правила, определяемые вручную, и проверку со стороны человека для выявления и классификации инцидентов безопасности. Это было эффективно, но ограниченно, поскольку требовало высокого уровня знаний для управления инструментами безопасности и перегруженности сотрудников службы безопасности.
Многие современные инструменты безопасности используют машинные методы для автоматизации принятия решений по безопасности, не требуя предварительного определения правил. Это может сэкономить много времени службам безопасности и привести к более быстрому и точному реагированию на угрозы.
Вот несколько примеров использования машинного обучения в кибербезопасности:
Как Imperva помогает
Решения Imperva для обеспечения безопасности машинного обучения используют контекстный сравнительный анализ, основанный на машинном обучении, для выявления аномального или подозрительного поведения, определения приоритетов предупреждений и помощи командам безопасности сосредоточиться на реальных инцидентах безопасности.
2. Безопасность API
Интерфейсы прикладного программирования (API) позволяют вычислительным системам взаимодействовать друг с другом и обмениваться данными. Возникла целая экономика API, которая позволяет организациям обмениваться данными и возможностями программного обеспечения друг с другом.
Хотя API-интерфейсы представляют большую ценность для организаций, они также представляют угрозу безопасности. Осведомленность о важности безопасности API ограничена, и на многих конечных точках API отсутствуют базовые меры безопасности. Злоумышленники могут манипулировать ими для злоупотребления службой, стоящей за API, а также могут быть точкой входа в критически важные системы организации.
В последние несколько лет появляются специализированные решения безопасности API, которые помогают организациям блокировать конечные точки API, защищать их от вредоносного трафика и защищаться от DDoS-атак. OpenAPI инициатива помогает организации определить свои API , стандартизированным способом, что позволяет применять политики безопасности , построенные вокруг возможностей API.
Как API Security помогает
API Security защищает API, гарантируя, что только желаемый трафик может получить доступ к вашей конечной точке API, а также обнаруживая и блокируя эксплойты уязвимостей. Основываясь на инициативе OpenAPI, Imperva предлагает не требующее обслуживания решение для защиты API, которое автоматически адаптируется к изменениям в спецификациях API.
3. Расширенная защита от ботов.
Боты - это системы, которые обращаются к веб-сайтам и выполняют автоматические действия. Некоторые боты являются законными, например, робот Google сканирует веб-сайты, чтобы добавить их в поисковый индекс Google. Но другие боты являются вредоносными, и злоумышленники используют их для атак на миллионы уязвимых веб-сайтов.
Сегодня на ботов приходится 58% веб-трафика, а 22% веб-трафика приходится на плохих роботов. Плохие боты могут быть установлены на устройствах конечных пользователей, скомпрометированных злоумышленниками, образуя массивные ботнеты. Эти устройства могут быть домашними компьютерами, серверами и устройствами Интернета вещей, такими как игровые консоли или смарт-телевизоры. Злоумышленники используют сети скомпрометированных устройств для запуска DDoS и многих других типов атак.
Системы управления ботами помогают организациям выявлять нежелательный бот-трафик и фильтровать его, позволяя при этом бесперебойно продолжать законный бот-трафик и трафик пользователей. Для этого им необходимо выявлять плохих ботов, используя различные методы, например:
Как Advanced Bot Protection помогает
Advanced Bot Protection анализирует ваш трафик ботов, чтобы выявить аномалии, выявляет плохое поведение ботов и проверяет его с помощью механизмов проверки, которые не влияют на трафик пользователей или хороших ботов. Управление репутацией также позволяет фильтровать нежелательный трафик на основе источников, географических регионов, шаблонов или черных списков IP-адресов.
4. Безопасность файлов
Безопасность файлов имеет решающее значение для обеспечения того, чтобы конфиденциальные данные не были доступны или подделаны неавторизованными сторонами, будь то внутренние или внешние. Многие стандарты соответствия требуют, чтобы организации установили строгий контроль над файлами конфиденциальных данных, продемонстрировали наличие этих средств контроля и продемонстрировали контрольный журнал активности файлов в случае нарушения.
Технология безопасности файлов может автоматически определять подозрительную файловую активность, которая может представлять собой попытку кражи данных, атаку программы-вымогателя или даже неосторожное удаление файлов пользователем или их копирование в небезопасное место.
Как File Security помогает
File Security непрерывно отслеживает доступ всех пользователей к корпоративным системам хранения файлов и ведет подробный учет всех операций доступа к файлам, включая привилегированных пользователей.
5. Самозащита рабочего приложения.
Исторически сложилось так, что многие организации использовали инструменты тестирования безопасности приложений (AST), которые автоматически сканировали код приложения на предмет проблем с качеством кода и уязвимостей программного обеспечения. Сегодня многие организации переходят на самозащиту приложений во время выполнения (RASP), которая сканирует и отслеживает код приложения в реальном времени, когда оно выполняется в производственной среде.
RASP развертывается вместе с веб-приложением. Он отслеживает трафик и поведение пользователей, и при обнаружении проблемы может блокировать определенные запросы пользователей и предупреждать сотрудников службы безопасности. RASP не полагается на конкретные сигнатуры атак и может блокировать целые категории атак.
Уникальным элементом RASP является то, что он использует внутренние знания исходного кода приложения. Он знает, как ведет себя приложение, и может обнаруживать атаки, использующие слабые места в коде, такие как внедрение кода и использование известных уязвимостей.
Как RASP помогает
Когда вы будете готовы к развертыванию своих приложений, RASP обеспечит их защиту и предоставит вам важную обратную связь для устранения любых дополнительных рисков. Он не требует изменений в коде и легко интегрируется с существующими приложениями и процессами DevOps, защищая вас как от известных атак, так и от атак нулевого дня.
6. Облачная безопасность
Поскольку организации претерпевают цифровую трансформацию и переносят критически важные рабочие нагрузки в облако, облачная безопасность становится важной частью стратегии кибербезопасности. Обеспечение безопасности облака является сложной задачей, поскольку облачные системы не имеют традиционного периметра безопасности и могут предоставить злоумышленникам доступ практически ко всем аспектам ИТ-среды.
Организации должны понимать разделение ответственности между собой и своим поставщиком облачных услуг и правильно настраивать функции безопасности, предлагаемые поставщиком облачных услуг, в частности функции сетевой изоляции, такие как виртуальное частное облако (VPC). У них также должно быть надежное решение для управления идентификацией и доступом (IAM) - способ определения учетных записей пользователей, ролей и политик контроля доступа.
При развертывании гибридного облака или мультиоблачной инфраструктуры, которая соединяется между частными и общедоступными облаками или несколькими общедоступными облаками, организации должны обеспечить единообразие безопасности во всех своих облачных средах и уделять особое внимание точкам интеграции.
Как Cloud Security помогает
Cloud Security защищает частные, общедоступные и многооблачные среды. Он предоставляет полный стек решений, который защищает ваши приложения, API-интерфейсы и базы данных, с одной точкой управления и одной стеклянной панелью для безопасности приложений и данных. Решения Imperva по обеспечению безопасности предоставляются в виде услуги или самоуправляемых виртуальных машин.
7. Предупреждение об усталости
Организации собирают огромный объем журналов и событий из ИТ-систем и средств безопасности. В настоящее время даже в малых и средних организациях широко распространено использование информации о безопасности и управления событиями (SIEM) для агрегирования данных безопасности и создания предупреждений для групп безопасности.
Огромное количество предупреждений вместе с хронической нехваткой сотрудников службы безопасности во многих организациях приводит к усталости от предупреждений. Команды безопасности получают тысячи предупреждений в любое время дня, что затрудняет анализ предупреждений и выявление реальных инцидентов безопасности.
Проблема не нова, и есть несколько подходов к снижению утомляемости от тревог. Например, организации внедряют аналитику угроз, чтобы определить, когда предупреждение соотносится с сигнатурой или шаблоном атаки известного злоумышленника. Подходы машинного обучения, такие как аналитика поведения пользователей и событий (UEBA), помогают выявлять необычное поведение и автоматически оценивать его для выявления событий, которые с большей вероятностью могут быть вредоносными.
Как Attack Analytics помогает
Attack Analytics использует технологии искусственного интеллекта и машинного обучения, чтобы анализировать поток событий безопасности и определять приоритетность наиболее важных. Он также обеспечивает простую интеграцию с ведущими платформами SIEM, чтобы упростить анализ данных безопасности и извлечение полезных сведений для групп безопасности.
- Что такое кибербезопасность?
- Принципы кибербезопасности
- Распространенные киберугрозы
- Разработка стратегии кибербезопасности
- 7 тенденций кибербезопасности
Что такое кибербезопасность?
Подобно тому, как физическая безопасность направлена на защиту физического имущества и людей от преступной деятельности или случайного ущерба, кибербезопасность защищает компьютерные системы, серверные системы и приложения конечных пользователей, пользователей этих систем и данные, которые они хранят.
Кибербезопасность направлена на предотвращение доступа киберпреступников, злоумышленников и других лиц, причинения вреда, нарушения работы или изменения ИТ-систем и приложений.
Важность кибербезопасности
По мере того, как человеческое общество становится цифровым, все аспекты нашей жизни улучшаются с помощью сетей, компьютеров и других электронных устройств, а также программных приложений. Критически важная инфраструктура, включая здравоохранение, финансовые учреждения, правительства и производство, все используют компьютеры или интеллектуальные устройства в качестве основной части своей деятельности. Подавляющее большинство этих устройств подключено к Интернету.
У злоумышленников больше, чем когда-либо, стимулов для поиска способов проникновения в эти компьютерные системы для получения финансовой выгоды, вымогательства, политических или социальных мотивов (известных как хактивизм) или просто вандализма.
За последние два десятилетия кибератаки были совершены на критически важную инфраструктуру во всех развитых странах, и бесчисленное количество предприятий понесли катастрофические убытки. Ежегодно во всем мире происходит более 2000 подтвержденных утечек данных, каждая из которых стоит в среднем более 3,9 миллиона долларов (8,1 миллиона долларов в США). С 2000 года киберпреступники украли личную информацию более 3,5 миллиарда человек, т.е. половину населения мира.
Нарушения безопасности и угрозы могут затронуть практически любую систему, включая:
- Связь - телефонные звонки, электронные письма, текстовые сообщения и приложения для обмена сообщениями могут использоваться для кибератак.
- Финансы - естественно, финансовые учреждения являются основной целью для злоумышленников, и любая организация, обрабатывающая или имеющая дело с информацией о банках или кредитных картах, подвергается риску.
- Правительства - государственные учреждения обычно становятся объектами нападений киберпреступников, которые могут интересоваться частной информацией граждан или конфиденциальными общедоступными данными.
- Транспорт - подключенные автомобили, системы управления дорожным движением и интеллектуальная дорожная инфраструктура подвержены риску киберугроз
- Здравоохранение - все, от медицинских записей в местной клинике до систем интенсивной терапии в национальной больнице, уязвимо для атак.
- Образование - образовательные учреждения, их конфиденциальные исследовательские данные и имеющаяся у них информация о студентах или сотрудниках подвержены риску атак.
Независимо от того, является ли ваша организация бизнесом любого размера, веб-сайтом, получающим значительный трафик, или учреждением или некоммерческой организацией, обслуживающей общественные интересы, подготовка и защита от угроз кибербезопасности должны быть одной из ваших первоочередных задач.
Принципы кибербезопасности
Основная цель кибербезопасности - защитить данные. Сообщество безопасности обычно ссылается на треугольник из трех связанных принципов, обеспечивающих безопасность данных, известный как триада ЦРУ:
- Конфиденциальность - обеспечение того, чтобы конфиденциальные данные были доступны только тем людям, которые действительно в них нуждаются, и им разрешен доступ в соответствии с политиками организации, при этом доступ для других заблокирован.
- Целостность - обеспечение того, чтобы данные и системы не были изменены из-за действий злоумышленников или случайного изменения. Следует принять меры для предотвращения повреждения или потери конфиденциальных данных, а также для быстрого восстановления после такого события, если оно произойдет.
- Доступность - гарантия того, что данные остаются доступными и полезными для конечных пользователей, и что этому доступу не препятствуют неисправности системы, кибератаки или даже сами меры безопасности.
Триада ЦРУ определяет три ключевых принципа безопасности данных.
Для достижения целей ЦРУ организации должны защищать два аспекта своей ИТ-среды: безопасность приложений и безопасность данных.
Общие стратегии безопасности приложений
Безопасность приложений гарантирует, что пользовательские приложения защищены от проникновения или нарушения со стороны внешних угроз, атак на устройства, на которых размещено или используется приложение (конечные точки), а также внутренних угроз. Ниже приведены три наиболее распространенных стратегии безопасности приложений.
Защита от DDoS-атак
Распределенная атака типа «отказ в обслуживании» (DDoS) использует большое количество подключенных устройств, контролируемых злоумышленником, для перегрузки ресурсов веб-сайта поддельным трафиком. Из-за огромного масштаба сегодняшних DDoS-атак распространенной защитной мерой является облачная служба предотвращения DDoS - атак. Эти службы используют маршрутизацию DNS или BGP для перенаправления трафика на облачные серверы очистки, отбрасывая вредоносные запросы и перенаправляя законные на веб-сервер.
Брандмауэр веб-приложений
Брандмауэр веб-приложений (WAF) развертывается на границе сети в качестве обратного прокси-сервера, проверяет входящий и исходящий HTTP / S-трафик веб-приложения и фильтрует вредоносный трафик. WAF использует политики безопасности и данные аналитики угроз, такие как известные источники плохого трафика и известные шаблоны атак, чтобы определить, какой трафик не должен доходить до приложения.
Расширенная защита от ботов
Боты - это автоматизированные программы, которые выполняют действия через Интернет. Некоторые боты являются законными и должны иметь доступ к веб-сайту, в то время как другие являются вредоносными и могут использоваться для запуска автоматических атак. Управление ботами - это быстро развивающаяся область, которая защищает организации от плохих ботов с помощью баз данных репутации ботов, задач, которые проверяют, является ли бот реальным пользователем или нет, и поведенческого анализа, который выявляет подозрительное поведение ботов.
Общие стратегии безопасности данных
Безопасность данных гарантирует, что данные не могут быть доступны для внешних или неавторизованных внутренних сторон, выявляя риски для конфиденциальных данных и устраняя их, а также настраивая методы обнаружения для определения того, когда к данным обращаются, изменяются или удаляются субъекты угроз. Ниже приведены три распространенные стратегии защиты данных.
Маскировка данных
Многие утечки данных происходят не в производственных средах, а в средах тестирования или DevOps. Эти среды часто не защищены, но обычно загружаются оперативными конфиденциальными данными клиентов. Маскирование данных позволяет использовать реалистичные данные на тестовых серверах, а методы преобразования позволяют скрыть или зашифровать исходные данные.
Обнаружение уязвимости
Многие программные системы имеют известные уязвимости, которые могут быть использованы хакерами для взлома системы. Обнаружение уязвимостей - это процесс, основанный на базах данных уязвимостей, которые содержат сведения об известных уязвимостях. Это позволяет организации определять, какие системы подвержены уязвимостям, понимать серьезность и влияние, а также устранять уязвимости.
Endpoint Security
Количество конечных устройств в организациях стремительно растет. Существуют миллионы ноутбуков, мобильных устройств и устройств Интернета вещей (IoT-устройства), которые подключаются к Интернету и представляют растущую угрозу безопасности.
Безопасность конечных точек включает развертывание агента на каждой конечной точке, который может предоставлять такие возможности безопасности, как антивирус нового поколения (NGAV), для обнаружения атак нулевого дня и внутренних угроз, а также обнаружение и реагирование на конечные точки (EDR), чтобы помочь группам безопасности расследовать и блокировать атаки на конечных точках в реальном времени.
Распространенные киберугрозы
Сфера кибербезопасности сложна, с миллионами известных субъектов угроз и задокументированными тактиками, методами и процедурами (TTP), а также каждый день появляются новые типы атак. Вот несколько наиболее распространенных киберугроз, которым вы можете подвергнуться:
| Угроза | Как это работает | Риск для вашей организации |
| Фишинг | Злоумышленники отправляют жертвам электронные письма и сообщения, замаскированные под законные, но на самом деле обманом заставляя получателя поставить под угрозу безопасность. | Злоумышленники могут использовать фишинг как предвестник практически любого другого типа кибератаки. Он открывает дверь в вашу сеть и внутренние системы. |
| Расширенные постоянные угрозы (APT) | Организованная группа киберпреступников проводит долгую кампанию кибератак против конкретной организации. | Группы APT могут скомпрометировать данные, включая конфиденциальные данные клиентов, украсть средства, а также уничтожить или нарушить работу критически важных систем. |
| Вредоносное ПО | Программное обеспечение, предназначенное для оказания помощи или проведения кибератак или нанесения ущерба компьютерным системам. Обычно он способен распространяться и заражать дополнительные компьютерные системы. | Вредоносное ПО может причинить прямой ущерб, например повредить данные или нарушить работу системы, и может включать в себя бэкдоры, которые предоставляют злоумышленникам неограниченный доступ для выполнения других вредоносных действий. |
| Программы-вымогатели | Тип вредоносного ПО, которое шифрует данные в компьютерных системах, делая их недоступными для пользователей, и требует выкуп за свое распространение. | Программы-вымогатели представляют угрозу для всех данных организации. Без эффективного плана резервного копирования и аварийного восстановления восстановление данных может быть очень сложным. |
| Эксплойт нулевого дня | Первая попытка проведения кибератаки с использованием уязвимости в системе безопасности компьютерной системы. Поскольку уязвимость еще не известна, вероятность успеха атаки высока. | Эксплойты нулевого дня могут иметь смертельные последствия. В зависимости от целевой системы они могут привести к тому, что злоумышленники получат доступ к критическим системам, нарушат работу службы и скомпрометируют конфиденциальные данные. |
| Внедрение кода | Попытка злоумышленников отправить вредоносный код в компьютерную систему и заставить ее обработать и выполнить этот код. Распространенными вариантами являются внедрение SQL-кода и межсайтовый скриптинг (XSS). | Внедрение кода может использоваться для получения контроля над системами, такими как веб-серверы, серверы приложений или баз данных, и манипулирования ими для выполнения действий, желаемых злоумышленником. |
| Отказ в обслуживании (DDoS) | Включает в себя отправку большого количества поддельного трафика в компьютерную систему до тех пор, пока объем трафика не превысит его, закрывая доступ законным пользователям. | Сбои в работе критических сервисов, ущерб репутации. Также может служить отвлечением, чтобы привлечь внимание сотрудников службы безопасности и скрыть другие злонамеренные действия. |
| Боты и автоматические атаки | Подавляющее большинство кибератак осуществляется автоматизированными системами, называемыми ботами, которые могут сканировать системы на наличие уязвимостей, пытаться угадывать пароли, заражать системы вредоносными программами и выполнять множество других вредоносных действий. | Боты опасны, потому что они работают в больших масштабах, постоянно сканируя Интернет в поисках жертв и безжалостно атакуя. На все веб-сайты постоянно попадает бот-трафик, в том числе вредоносный. |
Разработка стратегии кибербезопасности
Решение проблемы кибербезопасности в вашей организации начинается со стратегии, которая должна поддерживаться высшим руководством и распространяться среди всей организации.
Вот процесс, который вы можете использовать для построения своей стратегии безопасности:
- Проведите инвентаризацию вычислительных ресурсов - определите, какими приложениями и данными обладает ваша организация, а также последствия, если они будут атакованы или скомпрометированы. Составьте список активов, которые необходимо защитить.
- Определите нормативные требования - подчиняется ли ваша организация каким-либо нормативным актам или отраслевым стандартам, влияющим на кибербезопасность? Определите требования соответствия, связанные с кибербезопасностью, и добавьте их в свой список защищенных активов.
- Выявление угроз и рисков - просмотрите исчерпывающий список угроз, влияющих на вашу отрасль, определите, какие из них наиболее актуальны для вашей организации, и проанализируйте ключевые системы, чтобы определить, насколько они уязвимы для атак. Например, организация, которая управляет веб-сайтом, должна беспокоиться об угрозах веб-приложений, таких как внедрение кода и вредоносные боты, и должна проводить оценку своих веб-приложений, чтобы увидеть, насколько они уязвимы.
- Расставьте приоритеты по рискам - укажите системы, которые вам необходимо защитить, ваши обязанности по соблюдению нормативных требований и общие угрозы, обозначьте свои самые большие риски. Какие системы наиболее ценны для бизнеса и наиболее подвержены атакам? Это первые риски, на которые следует обратить внимание с помощью программы кибербезопасности.
- Определите свой уровень зрелости безопасности и существующие инструменты - есть ли у вас программа кибербезопасности в вашей компании? Есть ли собственный персонал или существующие поставщики, которые предоставляют услуги безопасности? Также наметьте уже существующие меры кибербезопасности. Подумайте о защите физических объектов (охранник, запертые двери в серверные комнаты), систем безопасности, таких как брандмауэры и антивирус, а также меры безопасности в приложениях и службах, которые использует организация, включая облачные службы.
- Создайте команду по кибербезопасности - используйте имеющихся в вашей организации сотрудников, обладающих навыками кибербезопасности, наймите новых сотрудников и при необходимости привлеките консультантов. Создайте квалифицированную команду, способную выполнить план кибербезопасности, чтобы улучшить вашу позицию в области безопасности.
- Составьте график и основные этапы для улучшения вашей кибербезопасности - какие быстрые победы вы можете сразу же добиться для улучшения защиты критически важных систем? Какие более долгосрочные меры требуют больше времени, но могут быть важны для повышения кибербезопасности? Составьте долгосрочный план как минимум на 1-2 года с четкими вехами, указывающими, что должна достигать группа безопасности каждый квартал.
7 тенденций кибербезопасности
Ниже приведены важные тенденции в сообществе кибербезопасности, о которых вам следует знать, разрабатывая свою стратегию и выбирая набор инструментов.
1. Кибербезопасность и машинное обучение
В прошлом системы кибербезопасности полагались на правила, определяемые вручную, и проверку со стороны человека для выявления и классификации инцидентов безопасности. Это было эффективно, но ограниченно, поскольку требовало высокого уровня знаний для управления инструментами безопасности и перегруженности сотрудников службы безопасности.
Многие современные инструменты безопасности используют машинные методы для автоматизации принятия решений по безопасности, не требуя предварительного определения правил. Это может сэкономить много времени службам безопасности и привести к более быстрому и точному реагированию на угрозы.
Вот несколько примеров использования машинного обучения в кибербезопасности:
- Антивирусные инструменты нового поколения (NGAV) используют автоматическую классификацию вредоносных программ, идентифицируя вредоносное ПО, даже если оно не соответствует какому-либо известному двоичному шаблону.
- Системы предотвращения потери данных (DLP) используют машинное обучение для чтения документов или других материалов и автоматически классифицируют их конфиденциальность.
- Системы защиты электронной почты обучаются с использованием большого набора данных о фишинговых и законных электронных письмах и могут идентифицировать электронные письма, которые «выглядят» как попытки фишинга.
Как Imperva помогает
Решения Imperva для обеспечения безопасности машинного обучения используют контекстный сравнительный анализ, основанный на машинном обучении, для выявления аномального или подозрительного поведения, определения приоритетов предупреждений и помощи командам безопасности сосредоточиться на реальных инцидентах безопасности.
2. Безопасность API
Интерфейсы прикладного программирования (API) позволяют вычислительным системам взаимодействовать друг с другом и обмениваться данными. Возникла целая экономика API, которая позволяет организациям обмениваться данными и возможностями программного обеспечения друг с другом.
Хотя API-интерфейсы представляют большую ценность для организаций, они также представляют угрозу безопасности. Осведомленность о важности безопасности API ограничена, и на многих конечных точках API отсутствуют базовые меры безопасности. Злоумышленники могут манипулировать ими для злоупотребления службой, стоящей за API, а также могут быть точкой входа в критически важные системы организации.
В последние несколько лет появляются специализированные решения безопасности API, которые помогают организациям блокировать конечные точки API, защищать их от вредоносного трафика и защищаться от DDoS-атак. OpenAPI инициатива помогает организации определить свои API , стандартизированным способом, что позволяет применять политики безопасности , построенные вокруг возможностей API.
Как API Security помогает
API Security защищает API, гарантируя, что только желаемый трафик может получить доступ к вашей конечной точке API, а также обнаруживая и блокируя эксплойты уязвимостей. Основываясь на инициативе OpenAPI, Imperva предлагает не требующее обслуживания решение для защиты API, которое автоматически адаптируется к изменениям в спецификациях API.
3. Расширенная защита от ботов.
Боты - это системы, которые обращаются к веб-сайтам и выполняют автоматические действия. Некоторые боты являются законными, например, робот Google сканирует веб-сайты, чтобы добавить их в поисковый индекс Google. Но другие боты являются вредоносными, и злоумышленники используют их для атак на миллионы уязвимых веб-сайтов.
Сегодня на ботов приходится 58% веб-трафика, а 22% веб-трафика приходится на плохих роботов. Плохие боты могут быть установлены на устройствах конечных пользователей, скомпрометированных злоумышленниками, образуя массивные ботнеты. Эти устройства могут быть домашними компьютерами, серверами и устройствами Интернета вещей, такими как игровые консоли или смарт-телевизоры. Злоумышленники используют сети скомпрометированных устройств для запуска DDoS и многих других типов атак.
Системы управления ботами помогают организациям выявлять нежелательный бот-трафик и фильтровать его, позволяя при этом бесперебойно продолжать законный бот-трафик и трафик пользователей. Для этого им необходимо выявлять плохих ботов, используя различные методы, например:
- Управление репутацией - управление базой данных заведомо хороших и плохих ботов.
- Отпечатки устройства - определение атрибутов операционной системы или браузера, которые могут указывать на плохого бота.
- Проблемы - подвергнуть бота «проблеме», такой как динамический элемент страницы или CAPTCHA, которую пользователи-люди могут обрабатывать, а боты - нет.
Как Advanced Bot Protection помогает
Advanced Bot Protection анализирует ваш трафик ботов, чтобы выявить аномалии, выявляет плохое поведение ботов и проверяет его с помощью механизмов проверки, которые не влияют на трафик пользователей или хороших ботов. Управление репутацией также позволяет фильтровать нежелательный трафик на основе источников, географических регионов, шаблонов или черных списков IP-адресов.
4. Безопасность файлов
Безопасность файлов имеет решающее значение для обеспечения того, чтобы конфиденциальные данные не были доступны или подделаны неавторизованными сторонами, будь то внутренние или внешние. Многие стандарты соответствия требуют, чтобы организации установили строгий контроль над файлами конфиденциальных данных, продемонстрировали наличие этих средств контроля и продемонстрировали контрольный журнал активности файлов в случае нарушения.
Технология безопасности файлов может автоматически определять подозрительную файловую активность, которая может представлять собой попытку кражи данных, атаку программы-вымогателя или даже неосторожное удаление файлов пользователем или их копирование в небезопасное место.
Как File Security помогает
File Security непрерывно отслеживает доступ всех пользователей к корпоративным системам хранения файлов и ведет подробный учет всех операций доступа к файлам, включая привилегированных пользователей.
5. Самозащита рабочего приложения.
Исторически сложилось так, что многие организации использовали инструменты тестирования безопасности приложений (AST), которые автоматически сканировали код приложения на предмет проблем с качеством кода и уязвимостей программного обеспечения. Сегодня многие организации переходят на самозащиту приложений во время выполнения (RASP), которая сканирует и отслеживает код приложения в реальном времени, когда оно выполняется в производственной среде.
RASP развертывается вместе с веб-приложением. Он отслеживает трафик и поведение пользователей, и при обнаружении проблемы может блокировать определенные запросы пользователей и предупреждать сотрудников службы безопасности. RASP не полагается на конкретные сигнатуры атак и может блокировать целые категории атак.
Уникальным элементом RASP является то, что он использует внутренние знания исходного кода приложения. Он знает, как ведет себя приложение, и может обнаруживать атаки, использующие слабые места в коде, такие как внедрение кода и использование известных уязвимостей.
Как RASP помогает
Когда вы будете готовы к развертыванию своих приложений, RASP обеспечит их защиту и предоставит вам важную обратную связь для устранения любых дополнительных рисков. Он не требует изменений в коде и легко интегрируется с существующими приложениями и процессами DevOps, защищая вас как от известных атак, так и от атак нулевого дня.
6. Облачная безопасность
Поскольку организации претерпевают цифровую трансформацию и переносят критически важные рабочие нагрузки в облако, облачная безопасность становится важной частью стратегии кибербезопасности. Обеспечение безопасности облака является сложной задачей, поскольку облачные системы не имеют традиционного периметра безопасности и могут предоставить злоумышленникам доступ практически ко всем аспектам ИТ-среды.
Организации должны понимать разделение ответственности между собой и своим поставщиком облачных услуг и правильно настраивать функции безопасности, предлагаемые поставщиком облачных услуг, в частности функции сетевой изоляции, такие как виртуальное частное облако (VPC). У них также должно быть надежное решение для управления идентификацией и доступом (IAM) - способ определения учетных записей пользователей, ролей и политик контроля доступа.
При развертывании гибридного облака или мультиоблачной инфраструктуры, которая соединяется между частными и общедоступными облаками или несколькими общедоступными облаками, организации должны обеспечить единообразие безопасности во всех своих облачных средах и уделять особое внимание точкам интеграции.
Как Cloud Security помогает
Cloud Security защищает частные, общедоступные и многооблачные среды. Он предоставляет полный стек решений, который защищает ваши приложения, API-интерфейсы и базы данных, с одной точкой управления и одной стеклянной панелью для безопасности приложений и данных. Решения Imperva по обеспечению безопасности предоставляются в виде услуги или самоуправляемых виртуальных машин.
7. Предупреждение об усталости
Организации собирают огромный объем журналов и событий из ИТ-систем и средств безопасности. В настоящее время даже в малых и средних организациях широко распространено использование информации о безопасности и управления событиями (SIEM) для агрегирования данных безопасности и создания предупреждений для групп безопасности.
Огромное количество предупреждений вместе с хронической нехваткой сотрудников службы безопасности во многих организациях приводит к усталости от предупреждений. Команды безопасности получают тысячи предупреждений в любое время дня, что затрудняет анализ предупреждений и выявление реальных инцидентов безопасности.
Проблема не нова, и есть несколько подходов к снижению утомляемости от тревог. Например, организации внедряют аналитику угроз, чтобы определить, когда предупреждение соотносится с сигнатурой или шаблоном атаки известного злоумышленника. Подходы машинного обучения, такие как аналитика поведения пользователей и событий (UEBA), помогают выявлять необычное поведение и автоматически оценивать его для выявления событий, которые с большей вероятностью могут быть вредоносными.
Как Attack Analytics помогает
Attack Analytics использует технологии искусственного интеллекта и машинного обучения, чтобы анализировать поток событий безопасности и определять приоритетность наиболее важных. Он также обеспечивает простую интеграцию с ведущими платформами SIEM, чтобы упростить анализ данных безопасности и извлечение полезных сведений для групп безопасности.
