Почему изменчивый характер конечных точек требует нового подхода к безопасности



Гибридные и гибкие рабочие модели, которые сейчас являются неотъемлемой частью многих организаций, изменили парадигму кибербезопасности и привели к тому, что безопасности конечных точек стало уделяться больше внимания, чем когда-либо. На устройствах хранится и проходит через них больше конфиденциальных документов, чем когда-либо прежде, в то время как сотрудники могут работать из любого места: дома, в кафе или отеле, используя общедоступный Wi-Fi, без возможности подключения к офисам, защищенным брандмауэром, и центры обработки данных.

Эти устройства больше не передают трафик через виртуальную частную сеть (VPN) в свои офисы и локальные центры обработки данных. По умолчанию часто используется прямое подключение их устройств к Интернету, где они теперь подключаются к облачным файловым серверам и приложениям «программное обеспечение как услуга» (SaaS) и активны в любое время суток.

Этот сдвиг требует адаптации групп безопасности. Это коренным образом меняет профиль и характер конечных точек — эти устройства делают больше, чем когда-либо прежде, постоянно подключаясь к новым местам и находя новые пути повышения производительности. Имея более конфиденциальные данные на этих конечных устройствах, крайне важно, чтобы мы признали, что они не такие, какими были раньше, и признали, что устаревшие средства защиты делают недостаточно для обеспечения их безопасности.

Большинство организаций отреагировали на это изменение созданием дополнительных решений поверх стандартных антивирусных инструментов. Это может включать средства защиты от вредоносных программ, командно-контрольные (C2) средства защиты маяков, средства защиты от программ-вымогателей на конечной точке (отслеживание шифрования файлов и создание резервных копий по мере их возникновения) и фильтрацию URL-адресов. Более зрелые организации повысили безопасность своих конечных точек с помощью платформ обнаружения и реагирования на конечные точки (EDR) или расширенных платформ обнаружения и реагирования (XDR); подписались на каналы информации об угрозах для выявления известных плохих веб-сайтов; нашли способы ввода данных в платформы управления безопасностью, автоматизации и реагирования (SOAR); или некоторая их комбинация.

Эти усовершенствования значительно улучшают способность организации выявлять известные угрозы. У них есть целый ряд различных сильных сторон и вариантов использования, но у них есть одна общая черта: независимо от уровня их сложности, фундаментальная философия их механизмов обнаружения одинакова: чтобы остановить следующую угрозу, они ищут атаки ( или паттерны и отличительные черты атак)которые были замечены раньше. Только когда они обнаружат что-то, что соответствует или очень похоже на ранее обнаруженную угрозу, они инициируют блокировку.

Но преступники мыслят как предприниматели — они находят нестандартные решения для достижения своих целей. В кибербезопасности это означает, что они должны применять новые тактики, методы и процедуры, чтобы обойти эти унаследованные средства защиты.

В результате инструменты безопасности, анализирующие прошлые атаки, необходимо постоянно обновлять и настраивать, создавая ручные, трудоемкие рабочие процессы и не позволяя группам безопасности сосредоточиться на более активной и стратегической работе. Между тем, «известные неизвестные» или «неизвестные неизвестные» атаки, которые никогда раньше не наблюдались, легко проходят через эти инструменты. В конечном счете, сложность современных атак и скорость инноваций злоумышленников сделали этот подход неработоспособным.

Защита конечной точки начинается с ее понимания
Вопрос о том, как защититься от «неизвестных неизвестных», сложен: как остановить что-то, когда вы не знаете, что ищете? Ответ может быть на удивление простым: нужно перестать смотреть в зеркало заднего вида на прошлые атаки и смотреть на организацию и узнавать, как она обычно себя ведет.

Этот сдвиг в подходе влечет за собой использование искусственного интеллекта (ИИ) для изучения уникального поведения и характеристик каждого конечного устройства. Это позволяет обнаруживать незначительные отклонения от нормы, указывающие на киберугрозу, а также целенаправленно реагировать: останавливать вредоносную активность, обеспечивая нормальное поведение устройства.

Это знаменует собой значительный шаг вперед по сравнению с бинарным принятием решений большинством инструментов для работы с конечными точками, которые ограничены в своих действиях «блокировкой» или «разрешением», что может привести к чрезмерно агрессивным действиям, помещающим устройства в карантин и нарушающим законный бизнес.

Вместо этого этот подход может специально нацеливаться на вредоносную активность и хирургическим путем устранять угрозу. Это позволяет технологии работать с VPN-сервисами: она может помещать устройство в карантин и блокировать его связь с злоумышленниками, сохраняя при этом доступ к VPN и позволяя персоналу службы безопасности удаленно управлять зараженным устройством.

Приведение корпоративного контекста к конечной точке
По мере того, как деятельность конечной точки все больше переплетается с активностью в облачных приложениях и системах электронной почты, использование единого механизма искусственного интеллекта для получения информации о нескольких частях вашего предприятия приведет к чему-то большему, чем сумма его отдельных частей.

Возьмем, к примеру, атаку программ-вымогателей, которая начинается с одного целевого фишингового письма. Удаленный работник нажимает на вредоносную ссылку, которая ведет на веб-сайт, который инициирует загрузку через браузер. Затем их устройство заражается вредоносным ПО и инициирует связь C2 с инфраструктурой злоумышленника перед загрузкой больших объемов данных на облачный сервер.

Только благодаря унифицированному охвату электронной почты, конечных точек, облачных и сетевых данных вы можете определить на каждом этапе этого вторжения, что происходит что-то необычное, отдавая приоритет инциденту для группы безопасности человека или автономно реагируя на каждом этапе, чтобы ошеломить злоумышленника на месте. .

Конечные точки изменились, и безопасность тоже должна измениться
Мы живем в эпоху, когда данные более свободно передаются между устройствами, облачными системами и Интернетом; более конфиденциальные данные хранятся непосредственно на устройствах; и эти устройства активны большее количество часов в день. Тем временем злоумышленники продолжают внедрять новые инструменты и методы для доступа к данным на этих устройствах.

Надежная защита конечных точек означает поддержание видимости этих устройств, но также предполагает возможность выявлять новые угрозы, независимо от их характера; привнести общекорпоративный контекст в деятельность конечной точки; и реагировать своевременно и целенаправленно, обеспечивая безопасность современного динамичного персонала при сохранении производительности.

https://cyberxhack.org/