Введение
На сегодняшний день для огромного числа организаций залог успешного ведения бизнеса — это высокий уровень защищённости собственной ИТ-инфраструктуры. С учётом высокого темпа роста цифровизации и активного перехода бизнеса в «облака» количество активов, которые требуют перманентной защиты, только увеличивается. Также постоянно изменяется ландшафт угроз. Это в свою очередь мотивирует сотрудников информационной безопасности быть более гибкими: уметь оперативно подстраиваться самим, вносить соответствующие изменения в уже существующие средства защиты или использовать новые.
Всё чаще организации из различных сегментов рынка сталкиваются со сложными угрозами и целевыми атаками. Стоимость проведения атак снижается, из-за чего всё больший круг злоумышленников получает доступ к инструментарию для реализации такого типа угроз. В некоторых случаях они и вовсе используют специализированные ресурсы, предоставляющие в аренду развитые возможности и инструменты для проведения атак, где в случае появления вопросов «на помощь» потенциальному злоумышленнику придёт квалифицированный специалист поддержки, который поможет разобраться в тонкостях настройки.
На текущий момент традиционные СЗИ, такие, например, как антивирус, не в состоянии в одиночку обеспечить тот уровень защиты, который требуется бизнесу. Их проектировали для другого типа угроз, в них отсутствует возможность сопоставления данных с конечных точек, и в целом они направлены скорее на выявление распространённых массовых атак. Кроме того, обнаружение инцидентов традиционными методами, вероятнее всего, не позволит определить факт того, что конкретное событие в ИБ может быть лишь небольшим звеном в рамках APT.
При этом успешно реализованные сложные атаки могут приводить к таким последствиям, как:
- кража персональных данных;
- прерывание функционирования веб-ресурсов;
- негативное влияние на критически важные технологические процессы;
- атаки на технологические сети с нанесением физического ущерба;
- атаки на оборудование дистанционного оказания медицинских услуг.
Для успешного противодействия сложным атакам необходимо своевременное выявление инцидентов и реагирование на них, что включает в себя получение данных и их анализ, обнаружение угроз, оперативное расследование и нейтрализацию рисков. С учётом вышесказанного бизнесу требуется не только защищать свои активы специализированными программными решениями, но и сформировать команду аналитиков, которые в состоянии непрерывно обеспечивать своевременное выявление и расследование угроз с их последующей нейтрализацией.
Чем раньше будет обнаружена угроза, тем меньший ущерб будет нанесён бизнесу. В данном случае большое значение имеют и количество специалистов, которые занимаются анализом событий, и их экспертная квалификация. На плечи этих сотрудников ложится большой объём работы: они должны анализировать поступающие из источников события, а также вести проактивный поиск угроз в ИТ-инфраструктуре. К сожалению, сегодня сформировать собственный штат таких специалистов и выстроить соответствующие процессы — задача сверхсложная.
KATA и KEDR — решения по защите от сложных угроз
Для обеспечения необходимого уровня защиты Angara Professional Assistance предлагает сервис на базе продуктов «Лаборатории Касперского» — Kaspersky Anti Targeted Attack (KATA) и Kaspersky Endpoint Detection and Response (KEDR). Использование модели подписки с чёткими параметрами тарификации позволяет гибко управлять подключёнными к сервису пользователями и хостами, а также защищать их. В рамках услуги аналитики-эксперты центра киберустойчивости группы компаний Angara осуществляют удалённый мониторинг, выявление и обработку инцидентов в информационной безопасности на критически важных хостах. За инвестиции, приблизительно равные стоимости коробочных лицензий, клиент получает сервис включающий инфраструктуру с гарантированной доступностью, непрерывный анализ событий квалифицированными специалистами с понятным SLA. Сервис доступен клиентам в двух режимах — 9×5 и 24×7.
Использование KATA совместно с KEDR обеспечивает расширенную функциональность для обнаружения угроз на уровне сети и предоставляет возможности EDR. Это комплексное решение класса XDR для обнаружения, расследования атак, реагирования на них и централизованного управления из единой веб-консоли. В основу продуктов заложены многоуровневые защитные технологии. Продукты сочетаются с широким набором услуг, в результате применения которых может быть сформирована система анализа, детектирования и реагирования на инциденты в ИБ. Kaspersky Anti Targeted Attack позволяет внедрить полностью интегрированный стратегический подход к противодействию целевым атакам, обнаружению и обработке сложных угроз.
В рамках сервиса клиент получает возможность использовать передовые решения, которые собирают информацию с рабочих станций и серверов, а также анализируют данные в сетевом трафике и почте. Наряду с этим клиенту не требуется наличие собственных специалистов, занимающихся анализом и расследованием, так как эта функциональность ложится на плечи аналитиков сервис-провайдера. Они проводят анализ выявленных угроз и в случае обнаружения критически значимых инцидентов в ИБ информируют об этом ответственного сотрудника клиента. Также по предварительному согласованию с клиентом может быть настроено автоматическое реагирование по заданным параметрам, например сетевая изоляция хоста или помещение объекта на карантин.
В условиях совершенствования современных угроз и усложнения кибератак компаниям необходима превентивная модернизация инструментария обеспечения безопасности. Конечные точки выступают в качестве одной из главных целей киберпреступников, которые способны преодолевать традиционные средства защиты информации, не обладающие передовыми возможностями обнаружения и реагирования. Инциденты в ИБ могут дестабилизировать ключевые процессы, снизить эффективность деятельности компании и увеличить издержки бизнеса. KATA и KEDR способны упредить активность злоумышленников и купировать угрозы до того, как компании будет причинён ущерб. Решения оперативно и эффективно реагируют на инциденты в безопасности и утечки данных, не влияя на производительность системы.
Преимущества для бизнеса
Использование сервиса выводит информационную безопасность компании на принципиально новый уровень, в том числе повышает автоматизацию процессов обнаружения инцидентов и реагирования на них, что означает более высокую степень защищённости инфраструктуры от кибератак.
Быстрая реакция аналитиков на инциденты и своевременное информирование заказчика о событиях позволяют предотвратить возможные нарушения. Angara Professional Assistance предоставляет заказчику готовый инструментарий для оперативного поиска по индикаторам компрометации, а также отчётность для оценки эффективности. Эксперты группы компаний Angara обеспечивают высокие показатели уровня обслуживания, включая время реакции. Сервис отличается относительной простотой и скоростью подключения, которое обычно проходит в 3–4 этапа в течение двух недель. Такая бизнес-модель предполагает минимальные вложения в инфраструктуру и доступность услуги для удовлетворения потребностей клиентов с разными финансовыми возможностями. MSS-сервис, предоставляемый Angara Professional Assistance на базе продуктов «Лаборатории Касперского», позволяет сократить затраты на обучение специалистов и формирование внутреннего подразделения, даёт доступ к аналитике и квалифицированной поддержке экспертов сервис-провайдера. Клиент получает определённый объём услуг по фиксированной стоимости, а также понятный прогноз операционных затрат с возможностью подобрать подходящий вариант в гибкой тарифной сетке вместо необходимых капитальных расходов.
Выводы
Зачастую бизнес не проецирует на себя инциденты, которые произошли у других компаний, и в большинстве случаев считает, что таргетированные угрозы (и возможный ущерб от них) его не коснутся. Однако текущая ситуация показывает, что компании не застрахованы от сложных атак и каждая из них может стать целью в любой момент. При этом ущерб будет стоить не только денег, но и репутации.
Источник: https://www.anti-malware.ru/analytics/Technology_Analysis/How-business-can-protect-itself-from-APT