Мэтью Уорнер, Blumira: «Приоритет кибербезопасности требует определенного уровня зрелости»

Повышенное внимание к кибербезопасности - лучшая превентивная мера, которую компании могут принять. Но зачастую понимание того, с какими угрозами нужно бороться, само по себе может стать проблемой. Blumira, предлагающая платформу обнаружения и реагирования, может помочь выявлять угрозы, готовиться к ним и эффективно реагировать на них.

Авторы издания CyberNews связались с Мэтью Уорнером, соучредителем и техническим директором Blumira, чтобы обсудить текущие наиболее широко распространенные кибератаки и обсудить решения, предлагаемые Blumira для их предотвращения.

Как появился проект Blumira?

Blumira полностью возникла из-за моего разочарования, когда я имел дело с SIEM с открытым исходным кодом при попытке масштабировать мои собственные программы защиты. Когда вы пытаетесь выяснить, как лучше всего защитить среду, необходимо охватить очень много различных областей, начиная от управления уязвимостями и заканчивая обработкой угроз. Довольно просто понять, что антивирус останавливает вирусы и что управление уязвимостями находит уязвимости, но SIEM во многих случаях становится этим волшебным неизвестным компонентом.

Такие инструменты, как Splunk, Elastic/Kibana, Alienvault/AT&T Cybersecurity и др., имеют свои достоинства в зависимости от размера и бюджета команды. Тем не менее, все они разделяют то, что ни одна из платформ не помогает организациям реагировать оперативно, непрерывно повышая уровень безопасности по мере использования. Blumira была и продолжает строиться на идее, что продукты SIEM должны обслуживать пользователей и их заинтересованные стороны, а не быть проблемой.

Как выглядит борьба с последствиями нападения? Не могли бы вы рассказать нам подробнее о шагах восстановления?

Преодолеть последствия атаки никогда не бывает легко, но это, безусловно, намного проще для организаций, которые заранее подготовились, выполнив ряд задач, создав резервные копии и разработав план реагирования на инциденты. Подобные приготовления означают уменьшение головной боли при работе с внешними сторонами, такими как киберстраховые компании, консультанты по реагированию на инциденты или аудиторы, после случившейся кибератаки.

Что касается этапов восстановления, мы рекомендуем следовать передовым методам NIST для реагирования на инциденты, которые включают обнаружение и анализ, локализацию, искоренение, восстановление и действия после инцидента. Мы рекомендуем несколько инструментов для выполнения этих действий. Мы рекомендуем включить Sysmon в качестве превентивной меры - бесплатный встроенный инструмент, который является частью пакета Windows Sysinternals, - который может очень помочь в процессе обнаружения и анализа. Как только вы начнете получать эти логи, это даст вам хороший след в случае кибератаки. Таким образом, вы можете начать расследование того, как злоумышленник получил доступ к вашей среде и что они сделали, когда оказались в ней. Динамические списки блокировки, которые Blumira включает как часть нашей платформы, являются еще одним полезным инструментом в процессе сдерживания, поскольку они разрывают связь между внешней инфраструктурой атаки и скомпрометированными системами.

Из множества ваших сервисов виртуальные приманки могут быть для некоторых менее известной мерой безопасности. Не могли бы вы рассказать нам подробнее, как это работает?

Приманки - это мощные инструменты безопасности, которые могут обнаруживать боковое движение и потенциальных злоумышленников в вашей сети, но они часто являются менее известной мерой безопасности из-за кажущейся сложности или идеи, что это просто еще один инструмент для управления. Приманки позволяют выполнять глубокое обнаружение в вашей среде без особых усилий и бюджета.

Виртуальные приманки встроены в нашу платформу. С Blumira каждый сброшенный датчик также может быть приманкой, которая немедленно обеспечивает высокоточное обнаружение с несколькими уровнями информации. Например, если мы обнаруживаем, что кто-то пытается пройти аутентификацию в приманке, и они предпринимают несколько попыток для этого, мы немедленно отправляем информацию группе ИТ-безопасности. Вы будете знать, что существует злоумышленник с определенным IP-адресом, который пытается запустить атаку в вашу среду.

Как вы думаете, пандемия как-то изменила подход людей к кибербезопасности?

Мы установили в нашей среде приманку Windows Server, чтобы отслеживать тенденции кибербезопасности на протяжении всей пандемии, и нашли некоторые интересные данные. В частности, мы наблюдали рост атак на 85% за период с конца 2019 года по 7 мая 2020 года.

Пандемия стала идеальным штормом для участников программ-вымогателей по многим причинам: внезапный переход к распределенной удаленной рабочей силе, который расширил поверхность атаки, усилил нагрузку на ИТ-отделы, которая помешала сосредоточиться на инициативах по кибербезопасности, и возможность для киберпреступников начать целенаправленные атаки на отрасли, которые особенно пострадали от пандемии, такие как образование и здравоохранение.

По всем этим и другим причинам после пандемии количество программ-вымогателей росло в геометрической прогрессии и стало объектом внимания основных средств массовой информации, особенно в связи с тем, что более серьезные атаки, такие как Colonial Pipeline, затронули глобальные цепочки поставок. Я думаю, что внимание СМИ открыло людям глаза на опасность программ-вымогателей и привело к большей потребности в инструментах кибербезопасности.

Какую тактику киберпреступники используют наиболее часто? На какие отрасли они обычно нацелены?

За последние пять лет методы программ-вымогателей сильно изменились. В «старые» времена сложные постоянные угрозы (APT), такие как emotet, проникли в среду и незаметно похитили некоторую информацию. Вот почему некоторые инциденты оставались незамеченными в течение более длительного времени.

С тех пор количество программ-вымогателей только выросло, в основном из-за того, что с их помощью можно заработать большие деньги. В наши дни модель «программа-вымогатель как услуга» позволяет более мелким и менее технически подкованным филиалам запускать атаки, часто путем покупки учетных данных для доступа в темной сети. С другой стороны, более крупные операторы, такие как Conti и REvil, используют милитаристский подход, часто оставаясь в среде на недели или месяцы, чтобы собрать данные и информацию, прежде чем они решат зашифровать. Оба типа злоумышленников используют общие тактики, такие как фишинговые кампании, использование известных уязвимостей и использование открытых портов протокола удаленного рабочего стола (RDP) с выходом в Интернет.

Меняющийся характер программ-вымогателей также означает, что филиалы программ-вымогателей меньше ориентированы на конкретные отрасли и больше сосредоточены на относительной простоте запуска атаки. Даже более крупные банды вымогателей, такие как DarkSide - участники угроз, ответственные за Colonial Pipeline - также заявили, что они не намерены нарушать цепочки поставок или делать политические заявления - они просто хотят заработать деньги. Вот почему малый бизнес находится в опасности; у них часто меньше ресурсов безопасности и более широкая поверхность атаки для злоумышленников.

Каковы основные признаки вредоносной электронной почты в связи с ростом числа атак с использованием фишинга и программ-вымогателей? Что делать сразу после получения подозрительного сообщения?

Фишинг - один из наиболее распространенных способов начала атаки программ-вымогателей. Злоумышленники будут отправлять электронные письма с использованием методов социальной инженерии, которые выглядят так, как будто отправитель принадлежит законной компании, что затрудняет обнаружение фишинга. Тем не менее, есть признаки, на которые следует обратить внимание: электронные письма, пришедшие из общественного достояния, орфографические ошибки, подозрительные вложения или ссылки или призывы к срочности действий.

Обучение конечных пользователей может дать сотрудникам знания, необходимые для обнаружения фишингового мошенничества. В идеале сотрудники должны немедленно сообщать ИТ-отделу о подозрительном электронном письме. В Blumira мы считаем, что более важно отслеживать поведение, связанное с фишинговыми атаками, например правила пересылки электронной почты, подозрительные ссылки и вредоносные макросы - и все это поведение, которое обнаруживает наша платформа.

Требуются ли одинаковые меры безопасности в эпоху частых кибератак для малых и крупных предприятий?

Малые и крупные предприятия не требуют одинаковых мер безопасности, но есть определенные меры, которые каждая организация, независимо от размера, должна предпринять для достижения минимального базового уровня безопасности. Для начала мы советуем всем организациям развернуть многофакторную аутентификацию, надежный антивирусный продукт, платформу обнаружения и реагирования конечных точек (EDR) и метод централизации журналов, чтобы ИТ-специалисты и службы безопасности имели видимость своей среды и могли предупрежден достаточно рано, чтобы обнаружить инцидент безопасности.

Как вы думаете, почему некоторые люди по-прежнему отодвигают кибербезопасность на второй план, хотя каждый день все больше и больше организаций подвергаются кибератакам?

Короткий ответ: это сложно изменить. Длинный ответ заключается в том, что существует множество факторов, которые не позволяют организациям уделять приоритетное внимание кибербезопасности. Иногда возникает внутренний конфликт, например, команда руководителей рассматривает кибербезопасность как еще одну головную боль или не желает выделять бюджет на программу безопасности.

Люди часто видят тревожную статистику, стоящую за программами-вымогателями, но ошибочно полагают, что их организация слишком мала, чтобы быть целью или что они не хранят данные, которые могут быть интересны злоумышленнику. Кроме того, у многих малых предприятий нет специальной группы безопасности, или даже одинокий сотрудник, сосредоточенный на безопасности. Многие из наших клиентов, например, имеют ИТ-администратора или другую аналогичную роль, которая отвечает за множество задач, а кибербезопасность - лишь одна из многих задач. Чтобы даже рассмотреть вопрос о приоритетности кибербезопасности, требуется определенный уровень зрелости безопасности, а достижение зрелости безопасности требует изменения мышления: от «Как мне решить эту проблему?» на «Как я могу стать более защищенным в долгосрочной перспективе?»

И, наконец, что ждет Blumira в будущем?

Наша цель - сделать обнаружение угроз и реагирование на них максимально простым и быстрым для небольших ИТ-групп - от начальной настройки до повседневного управления и использования. Чем быстрее организация развертывает решение безопасности, тем быстрее она может начать обнаруживать критические инциденты и реагировать на них. В настоящий момент на настройку в среднем по отрасли уходит несколько месяцев. Мы считаем это неприемлемым и серьезным препятствием на пути к успеху в сфере безопасности.

Мы продолжим выпускать новые продукты и инструменты, чтобы помочь небольшим ИТ-командам ускорить переход к безопасности. Позже в этом году мы выпустим Cloud Connectors, которые позволят ИТ-администраторам за считанные минуты настроить безопасность в облаке для Microsoft 365, AWS, Duo Security и другие облачные сервисы на подходе.