2020/06/17 16:45:39

Чек-лист:
Выстраиваем защиту устройств сотрудников на удаленке


Содержание

Десятилетиями традиционный антивирус был де-факто единственным решением для защиты пользовательских устройств – конечных точек доступа в ИТ-ландшафте компании. Несмотря на то, что антивирусные решения продолжают совершенствоваться, количество утечек и взломов также растет с угрожающей скоростью. Во многом это происходит потому, что антивирус фокусируется на обнаружении и реагировании на известные угрозы после того, как они уже проникли в сеть. Опытные злоумышленники могут обойти антивирус с помощью недорогих, автоматизированных онлайн-инструментов, которые производят бесчисленное количество уникальных, неизвестных атак. В конечном счете, функциональности традиционных антивирусов оказывается недостаточно для защиты систем от кибератак.

В распоряжении злоумышленников множество доступных инструментов: социальная инженерия и фишинг, вредоносное ПО, скрипты, уязвимости, платформы Malware-as-a-Service (вредоносы как сервис), подключаемые аппаратные устройства. Независимо от того, находится ли машина внутри периметра или нет, подключена ли она к корпоративной сети организации или нет, у злоумышленников достаточно возможностей для проникновения.

При подключении по удаленке домашних компьютеров пользователей риски резко возрастают. Антивирус может не соответствовать принятым в компании стандартам или отсутствовать. Система может быть не обновлена, а приложения узвимы или даже взломаны («кряки»). По сути, зашифрованный туннель VPN – это виртуальная «труба», на одном конце которой Ваша корпоративная сеть, а на другом потенциально зараженное устройство.

При подключении по удаленке домашних компьютеров пользователей риски резко возрастают

Чтобы предотвратить подобное, компании должны защитить себя и устройства своих пользователей (как корпоративные, так и личные) не только от известных, но и неизвестных киберугроз (т.н. угроз "нулевого дня", для которых еще нет сигнатур и репутации), а также от сбоев традиционных антивирусных решений.

Итак, какой же должна быть система безопасности, чтобы эффективно защищать корпоративные системы, пользователей и конечные устройства?

Предотвращение атак (функционал EPP)

Если вам удается предотвратить атаку, заблокировать ее на раннем этапе, то злоумышленник не преуспеет, не нанесет ущерб, а вам не придется «тушить пожары» и расследовать взломы.

Защита прикладного ПО от уязвимостей. Устаревшие версии браузеров, Flash, Java, офисных приложений или текущие их версии с уязвимостями «нулевого дня» создают «окно возможностей» для атак, которые традиционные антивирусы не в состоянии предотвратить. Необходимо обеспечивать полную защиту от эксплойтов для всех прикладных приложений, включая сторонние и проприетарные приложения. Это возможно благодаря использованию комбинации двух подходов: Использование белого, черного и серого списков, ограничивая или предотвращая работу несанкционированных и скомпрометированных приложений. Защита наиболее часто используемых для взлома приложений изнутри за счет встраивания в процесс логических ловушек, которые срабатывают, когда злоумышленник пытается воспользоваться известной или новой уязвимостью.

Рисунок 1. Сообщение о заблокированном эксплойте для Internet Explorer

Защита непосредственно в браузере от вредоносных файлов и фишинговых сайтов. Браузеры являются одним из самых распространенных способов атак на сетевую инфраструктуру организаций. Угрозой могут быть как скачиваемые файлы, так и зараженные, фишинговые сайты. Для защиты от этих угроз все потенциально опасные файлы перед попаданием на конечное устройство должны помещаться в песочницу и проверяться в режиме реального времени. При этом для удобства пользователей скачиваемые файлы, пока они анализируются песочницей, могут быть «очищены» от потенциально опасного содержимого и представлены в читаемом формате. Инструменты защиты браузера должны на основе машинного обучения анализировать весь веб-код страницы для выявления признаков фишинга и предотвращать утечку данных, включая учетные записи пользователей и их пароли.

Рисунок 2. Сообщение о заблокированном вредоносном сайте

Использование NGAV (Next-Generation Antivirus)как замены традиционного антивируса является важным элементом предотвращения кибератак. Хотя классические AV могут похвастаться защитой в 99%, но разрыв всего в 1% означает 100% вероятность взлома. NGAV включает в себя новые модули, например, поведенческой аналитики, который позволяет дополнить функционал за счет машинного обучения и статистического анализа исполняемых файлов для обнаружения модификаций известного вредоносного ПО.

Защита от вредоносных файловв большинстве компаний представляет собой связку межсетевого экрана и антивируса, разворачиваемые на периметре сети. В условиях удаленной работы сотрудники находятся за периметром, поэтому необходимо выстраивать эшелонированную защиту и начинать с конечных точек. Каждый получаемый устройством файл должен пройти через динамический анализ (эмуляцию) в песочнице. Для того чтобы не задерживать нормальную работу пользователя, на это время ему должна предоставляться безопасная копия этого файла.

Рисунок 3. Перемещения файла в песочницу

Уменьшение площади атаки (функционал EPP)

Чем меньше вы оставляете злоумышленнику вариантов проникновения («поле для деятельности»), тем ему сложнее атаковать, а вам легче выстроить надежную защиту.

Управление обновлениями и патчами обеспечивает своевременное устранение любой уязвимости в системе безопасности. Многие кибератаки нацелены на слабые места в системе, для которых уже существуют исправления. Однако требуется постоянный контроль и мониторинг, чтобы обеспечить актуальность защиты каждого устройства в компании, особенно при использовании устаревших операционных систем или при наличии сотрудников, работающих удаленно.

Контроль подключения внешних носителей/устройств позволит проводить мониторинг внешних устройств, подключенных к конечной точке. Более того, пользователи могут выбирать, каким устройствам разрешать доступ, а какие блокировать. Например, можно допустить подключение мыши через USB, но не флэш-носителя или 3G-модема. Исключения в политику безопасности можно вводить, используя информацию об изделии: серийном номере, типе устройства, и т.д.

Шифрование данных на жестком диске, носителях и при передаче по сети.В случае кражи устройства или перехвата трафика с корпоративных устройств сотрудников, может быть скомпрометирована или утеряна критическая информация, доступ к финансовым потокам организации и др. Для защиты от доступа третьих лиц необходимо шифрование данных не только на самом устройстве, но также использование криптографически защищенных каналов связи. В случае перехвата информации злоумышленники не смогут получить к ним доступ без корпоративных ключей шифрования.

Верификация и контроль устройствпомогает отслеживать, каким пользователям можно получить доступ и что делать в сетевой инфраструктуре. Мониторинг позволяет избежать несанкционированного доступа с тех устройств, которые уже были скомпрометированы. Для этого необходимо, чтобы все элементы инфраструктуры были настроены с применением политик безопасности, прежде чем дать доступ устройству в сеть.

Защита в реальном времени и восстановление после атаки (функционал EDR)

В случае, если атака уже началась, необходимо обнаружить и блокировать все возможные виды кибератак по поведению непосредственно на станции. Для этого важно отслеживать все процессы и их операции на устройстве в режиме реального времени, включая обращения к файловой системе, реестру, по сети, инъекции кода из процесса в процесс. Например, для эффективной борьбы с вирусами-шифровальщиками, при любой попытке модификации файла пользователя должна быть сделана временная резервная копия, которая впоследствии позволит восстановить заблокированные данные. Также должны использоваться «ловушки» (honeypots), которые привлекают внимание злоумышленников, давая время на реагирование. Они собирают информацию о характере поведения вредоносных программ и о способах воздействия, передавая их защитному ПО.

Обнаружение и блокирование бестелесных атак. Современные атаки зачастую не требуют запуска вредоносных файлов (которые содержат «тело» вируса). Вместо этого используются скрипты (например, PowerShell) или инструкции к самой операционной системе станции жертвы (например, WMI). Такие скрипты и инструкции невозможно обнаружить с помощью статического анализа антивируса и даже NGAV, они тщательно закодированы (обфусцированы). Язык PowerShell очень гибкий. Название следующей выполняемой функции может быть результатом вычисления предыдущей. Однако, решения класса AEP выявляют подозрительную активность непосредственно в ходе атаки за счет поведенческого анализа операций и вызовов системных процессов и применения машинного обучения. Это позволяет заблокировать атаку и минимизировать ущерб.

Блокировка каналов связи скомпрометированного устройствапозволяет изолировать зараженную станцию не только для минимизации ущерба внутренней инфраструктуре, но и отключить его от серверов злоумышленников. После ограничения сетевого взаимодействия, следует начать возврат конечной точки к безопасному состоянию. Для этого необходимо перемещение всех вредоносных или скомпрометированных файлов в карантин, блокировка всех запущенных в ходе атаки подозрительных процессов, включая системные, анализ и возвращение реестра в изначальное состояние.

Расследование инцидента и лечение (функционал EDR)

Важным шагом по обеспечению информационной безопасности конечных точек становится детальное изучение всех событий, которые произошли во время атаки на устройство. Для этого необходимо провести многофакторный анализ техник и тактик злоумышленника на каждом этапе в цепочке атаки по методике MITRE ATT&CK, включая метод проникновения, закрепления в системе, повышения привилегий и горизонтального перемещения внутри сети. Важно понять, как вредоносное ПО попало на устройство, как развивалась атака, каков ущерб от нападения. Кроме того, постанализ позволяет принять решение, возвращать ли конечную точку в корпоративную сеть и как предотвратить подобные инциденты в будущем.

Решение класса EDR должно не просто обеспечивать визуализацию событий и ручное реагирование, но и автоматизировать построение полной картины и процесс лечения станций, восстановления утраченных данных. Автоматизация позволяет усткорить решение инцидентов, а значит повысить эффективность Security Operation Center (SOC) и минимизировать потенциальный ущерб.

Рисунок 4. Отчет форензики после атаки

Приведенный выше чек-лист не является исчерпывающим, потому что невозможно предусмотреть все потенциальные слабые места в киберзащите организации. Вместе с тем, соблюдение всех пунктов сведет возможность компрометации устройств сотрудников до минимального значения. Однако реализация может стать слишком дорогостоящей и громоздкой, если использовать отдельное решение для каждой из задач.

К счастью, на рынке существуют решения, представляющие собой модульную конструкцию из технологий, защищающих рабочие станции на всех этапах атаки, и которые работают параллельно и в одной связке – Advanced Endpoint Protection. Система управления и другие инфраструктурные компоненты решения AEP (включая «песочницу») могут быть как локальными (доступны по VPN), так и облачными (доступны из любой точки) в зависимости от требований, предъявляемых конкретной организацией и законодательством.

Рисунок 5. Пример Advanced Endpoint Protection с различными модулями защиты

Внедрение подобного «продвинутого» решения по защите конечных устройств позволит реализовать как механизмы предотвращения (EndPoint Prevention, EPP), так и автоматизировать обнаружение, реагирование и расследование кибератак (Endpoint Detection & Response, EDR) на конечные устройства сотрудников.