Вредоносные программы становятся все более совершенными и агрессивными, и обозреватель Роб Эндерли (Rob Enderle) считает, что в борьбе с ними не всегда можно полагаться на сотрудников. Он предлагает свой план противодействия этой угрозе.
Данные компании взломаны, а ваши руководители пожимают плечами и якобы ни при чем.Именно эта фраза пришла мне на ум на днях во время завтрака в компании RSA с сотрудниками подразделения обеспечения безопасности Intel, где я случайно услышал описанную ниже историю. Я навострил уши, когда услышал слово “spearfishing”, которое было ключевым в реальной истории, рассказанной одним из руководителей Intel. Spearfishing («охота с острогой») означает атаку на конкретного сотрудника компании с целью похищения его персональных данных и/или нарушения работы принадлежащего ему оборудования.
Судя по всему, этот руководитель получил по электронной почте письмо с PDF-документом от подозрительного китайского студента-выпускника. В этом письме содержалась персональная информация о программе дополнительного образования, в которой этот руководитель ранее участвовал, а также приводилось достаточно конкретных данных об учебном заведении, чтобы письмо выглядело настоящим. В нем была просьба проверить приложенную диссертацию в формате PDF. Хотя никаких предупреждений о возможной опасности файла PDF не было, и он казался безвредным, получатель не стал его открывать, а вместо этого отослал в лабораторию McAfee для проверки.
Не напрасно! Согласно отчету лаборатории, файл содержал множество экземпляров ранее невиданного вредоносного ПО. Другими словами, хакеры не просто выбрали объектом атаки конкретное руководящее лицо, но и разработали специальный пакет, уникальность которого не позволяла системам обнаружения вредоносного ПО идентифицировать его как опасный. Нас уже давно предупреждали о том, что файлы PDF являются особенно опасными, но, судя по описываемому событию, даже промежуточные программные исправления не позволили устранить угрозу.
Больше всего меня пугает то, что данное вредоносное ПО было написано специально для «охоты» на руководителя компании по обеспечению безопасности. Руководители компаний по обеспечению безопасности в этом смысле являются желанной добычей, поскольку похищенная у них информация может предоставить доступ ко всем клиентам компании.
В критических ситуациях нельзя полагаться на сотрудников
В данном конкретном случае руководитель поступил правильно, но сколько его коллег в этой или других компаниях получили аналогичное почтовое вложение? И главный вопрос: сколько из них открыли адресованное лично им персонализированное вложение, и сколько в результате данных компанийтеперь взломано?
Мы знаем, что компьютеры наших детей весьма уязвимы для взлома, а поскольку наши ПК и устройства часто находятся в той же сети, то и наши системы также могут быть взломаны. После этого мы можем стать «переносчиками», если по неосторожности принесем эти системы обратно в офис. Предположим, мы достаточно осмотрительны и сканируем эти машины перед их допуском в сеть, но сканирование зачастую неспособно обнаружить уникальные вредоносные программы, написанные специально для взлома конкретных сотрудников.
А поскольку мы знаем, что наши собственные руководители не настолько осторожны, то вероятность того, что нас взломают, крайне близка к неизбежности.
«Золотой час»
Ребята из Intel говорили о «золотом часе», то есть о том, сколько времени имеется от момента взлома до момента, когда он должен быть выявлен и устранен. Другой парень за столом говорил о том, что крупнейшим банкам сейчас приходится осуществлять мгновенные переводы средств, а это значит, что стандартный период отсрочки, позволявший банкам проверять транзакции, скоро будет ликвидирован, и «нигерийские принцы», так щедро распоряжающиеся своими вымышленными деньгами, скоро смогут разбогатеть за счет ваших собственных.
Если бы мы задумались о том, что взлом мог уже произойти, то наш подход к обеспечению безопасности претерпел бы весьма серьезные изменения. Сейчас мы нацелены на предотвращение угроз, но очевидно, что этого недостаточно. Если же вы знаете, что вредоносный объект уже функционирует в вашей компании, то вы будете уделять больше внимания агрессивному выявлению угроз (McAfee SIEM), реагированию на них (Invotas) и повышению защиты информации (Varonis). Другими словами, если грабители уже у вас в доме, поздно менять замки. Вместо этого пора прятать ценности и искать методы устранения непрошенных гостей.
То же и в нашем случае: если мы примем как факт, что наша безопасность нарушена, то мы должны сначала постараться, чтобы наша интеллектуальная собственность не попала туда, куда мы не хотим, а затем сосредоточиться на выявлении и ликвидации несанкционированного доступа.
Технология SIEM (Security Information and Event Management; управление информационной безопасностью и событиями безопасности), интегрированная в универсальную консоль (поставляемую Intel/MacAfee), в сочетании с автоматической системой реагирования, поставляемой Invotas, дает вам оружие для «изгнания» непрошенных гостей, а защита IP-адресов от Varonis обеспечит достаточно времени для принятия мер до того, как ваши ценности будут похищены.
Оптимальная система предохранения от утечки данных включает в себя 3 уровня защиты
Хотя я знаю, что в компании Sony после того, как их взломали, развернули некоторые из этих инструментов, я еще не нашел никого, кто бы установил данное конкретное сочетание. Я полагаю, что вам нужны все три компонента – SIEM, Automated Threat Response (автоматическое реагирование на угрозы) и Automated Unstructured Data Protection (автоматическая защита неструктурированных данных) – чтобы у вас были время и возможность справиться с нарастающим вторжением.
Я перечислил выше именно этих поставщиков потому, что я хорошо знаком и иногда работаю с ними, а также потому, что это хороший вариант для начала (McAfee, Invotas и Varonis). Я выбрал McAfee из-за их связи с Intel и соответствующего изменения стратегии, ориентированного на взаимодействие, Invotas – так как они выглядят наиболее агрессивно в плане реагирования на угрозы, а Varonis – потому, что на сегодняшний день они лучшие в сфере защиты неструктурированных данных. Однако таким же важным для идеального сочетания, очевидно, будет обеспечение эффективности взаимодействия отдельных компонентов (в особенности первых двух).
В течение следующих недель я собираюсь поискать кого-нибудь, кто уже установил этот набор средств и отчитаться перед вами о том, каким в действительности может быть идеальное сочетание решений.
Тем временем вам стоило бы напомнить всем своим руководителям и ИТ-специалистам о необходимости воздерживаться от открытия вложений, отправленных неизвестными лицами или тех, получения которых они не ожидали (на случай имитации отправки письма известным лицом), на чем-либо, кроме специального изолированного ПК – если только они не хотят заработать печальную известность в своей компании.
А если они все-таки открыли вложение (в особенности PDF), получения которого они не ждали, необходимо отослать его на анализ в службу обеспечения безопасности. Если оно было безвредным, отлично. Если нет, то специалисты по безопасности должны немедленно начать процесс ликвидации ущерба и гарантировать изоляцию и невозможность повторения этого события.
Чувствую, что это будет неудачное десятилетие для руководителей отделов безопасности (CSO).
Роб Эндерли (Rob Enderle)
Роб Эндерли является президентом и главным аналитиком Enderle Group. Ранее он занимал должности старшего научного сотрудника в Forrester Research и Giga Information Group. До этого он работал в IBM, занимая должности в подразделениях внутреннего аудита, конкурентного анализа, маркетинга, финансов и обеспечения безопасности. В настоящее время Эндерли пишет материалы о новых технологиях, безопасности и Linux для различных изданий, а также появляется на национальных новостных телеканалах, включая CNBC, FOX, Bloomberg и NPR.
Данные компании взломаны, а ваши руководители пожимают плечами и якобы ни при чем.Именно эта фраза пришла мне на ум на днях во время завтрака в компании RSA с сотрудниками подразделения обеспечения безопасности Intel, где я случайно услышал описанную ниже историю. Я навострил уши, когда услышал слово “spearfishing”, которое было ключевым в реальной истории, рассказанной одним из руководителей Intel. Spearfishing («охота с острогой») означает атаку на конкретного сотрудника компании с целью похищения его персональных данных и/или нарушения работы принадлежащего ему оборудования.
Судя по всему, этот руководитель получил по электронной почте письмо с PDF-документом от подозрительного китайского студента-выпускника. В этом письме содержалась персональная информация о программе дополнительного образования, в которой этот руководитель ранее участвовал, а также приводилось достаточно конкретных данных об учебном заведении, чтобы письмо выглядело настоящим. В нем была просьба проверить приложенную диссертацию в формате PDF. Хотя никаких предупреждений о возможной опасности файла PDF не было, и он казался безвредным, получатель не стал его открывать, а вместо этого отослал в лабораторию McAfee для проверки.
Не напрасно! Согласно отчету лаборатории, файл содержал множество экземпляров ранее невиданного вредоносного ПО. Другими словами, хакеры не просто выбрали объектом атаки конкретное руководящее лицо, но и разработали специальный пакет, уникальность которого не позволяла системам обнаружения вредоносного ПО идентифицировать его как опасный. Нас уже давно предупреждали о том, что файлы PDF являются особенно опасными, но, судя по описываемому событию, даже промежуточные программные исправления не позволили устранить угрозу.
Больше всего меня пугает то, что данное вредоносное ПО было написано специально для «охоты» на руководителя компании по обеспечению безопасности. Руководители компаний по обеспечению безопасности в этом смысле являются желанной добычей, поскольку похищенная у них информация может предоставить доступ ко всем клиентам компании.
В критических ситуациях нельзя полагаться на сотрудников
В данном конкретном случае руководитель поступил правильно, но сколько его коллег в этой или других компаниях получили аналогичное почтовое вложение? И главный вопрос: сколько из них открыли адресованное лично им персонализированное вложение, и сколько в результате данных компанийтеперь взломано?
Мы знаем, что компьютеры наших детей весьма уязвимы для взлома, а поскольку наши ПК и устройства часто находятся в той же сети, то и наши системы также могут быть взломаны. После этого мы можем стать «переносчиками», если по неосторожности принесем эти системы обратно в офис. Предположим, мы достаточно осмотрительны и сканируем эти машины перед их допуском в сеть, но сканирование зачастую неспособно обнаружить уникальные вредоносные программы, написанные специально для взлома конкретных сотрудников.
А поскольку мы знаем, что наши собственные руководители не настолько осторожны, то вероятность того, что нас взломают, крайне близка к неизбежности.
«Золотой час»
Ребята из Intel говорили о «золотом часе», то есть о том, сколько времени имеется от момента взлома до момента, когда он должен быть выявлен и устранен. Другой парень за столом говорил о том, что крупнейшим банкам сейчас приходится осуществлять мгновенные переводы средств, а это значит, что стандартный период отсрочки, позволявший банкам проверять транзакции, скоро будет ликвидирован, и «нигерийские принцы», так щедро распоряжающиеся своими вымышленными деньгами, скоро смогут разбогатеть за счет ваших собственных.
Если бы мы задумались о том, что взлом мог уже произойти, то наш подход к обеспечению безопасности претерпел бы весьма серьезные изменения. Сейчас мы нацелены на предотвращение угроз, но очевидно, что этого недостаточно. Если же вы знаете, что вредоносный объект уже функционирует в вашей компании, то вы будете уделять больше внимания агрессивному выявлению угроз (McAfee SIEM), реагированию на них (Invotas) и повышению защиты информации (Varonis). Другими словами, если грабители уже у вас в доме, поздно менять замки. Вместо этого пора прятать ценности и искать методы устранения непрошенных гостей.
То же и в нашем случае: если мы примем как факт, что наша безопасность нарушена, то мы должны сначала постараться, чтобы наша интеллектуальная собственность не попала туда, куда мы не хотим, а затем сосредоточиться на выявлении и ликвидации несанкционированного доступа.
Технология SIEM (Security Information and Event Management; управление информационной безопасностью и событиями безопасности), интегрированная в универсальную консоль (поставляемую Intel/MacAfee), в сочетании с автоматической системой реагирования, поставляемой Invotas, дает вам оружие для «изгнания» непрошенных гостей, а защита IP-адресов от Varonis обеспечит достаточно времени для принятия мер до того, как ваши ценности будут похищены.
Оптимальная система предохранения от утечки данных включает в себя 3 уровня защиты
Хотя я знаю, что в компании Sony после того, как их взломали, развернули некоторые из этих инструментов, я еще не нашел никого, кто бы установил данное конкретное сочетание. Я полагаю, что вам нужны все три компонента – SIEM, Automated Threat Response (автоматическое реагирование на угрозы) и Automated Unstructured Data Protection (автоматическая защита неструктурированных данных) – чтобы у вас были время и возможность справиться с нарастающим вторжением.
Я перечислил выше именно этих поставщиков потому, что я хорошо знаком и иногда работаю с ними, а также потому, что это хороший вариант для начала (McAfee, Invotas и Varonis). Я выбрал McAfee из-за их связи с Intel и соответствующего изменения стратегии, ориентированного на взаимодействие, Invotas – так как они выглядят наиболее агрессивно в плане реагирования на угрозы, а Varonis – потому, что на сегодняшний день они лучшие в сфере защиты неструктурированных данных. Однако таким же важным для идеального сочетания, очевидно, будет обеспечение эффективности взаимодействия отдельных компонентов (в особенности первых двух).
В течение следующих недель я собираюсь поискать кого-нибудь, кто уже установил этот набор средств и отчитаться перед вами о том, каким в действительности может быть идеальное сочетание решений.
Тем временем вам стоило бы напомнить всем своим руководителям и ИТ-специалистам о необходимости воздерживаться от открытия вложений, отправленных неизвестными лицами или тех, получения которых они не ожидали (на случай имитации отправки письма известным лицом), на чем-либо, кроме специального изолированного ПК – если только они не хотят заработать печальную известность в своей компании.
А если они все-таки открыли вложение (в особенности PDF), получения которого они не ждали, необходимо отослать его на анализ в службу обеспечения безопасности. Если оно было безвредным, отлично. Если нет, то специалисты по безопасности должны немедленно начать процесс ликвидации ущерба и гарантировать изоляцию и невозможность повторения этого события.
Чувствую, что это будет неудачное десятилетие для руководителей отделов безопасности (CSO).
Роб Эндерли (Rob Enderle)
Роб Эндерли является президентом и главным аналитиком Enderle Group. Ранее он занимал должности старшего научного сотрудника в Forrester Research и Giga Information Group. До этого он работал в IBM, занимая должности в подразделениях внутреннего аудита, конкурентного анализа, маркетинга, финансов и обеспечения безопасности. В настоящее время Эндерли пишет материалы о новых технологиях, безопасности и Linux для различных изданий, а также появляется на национальных новостных телеканалах, включая CNBC, FOX, Bloomberg и NPR.
