1. Борьба с целевым фишингом и социальной инженерией
Персонализированные атаки: Фишинг стал точечным и использует ИИ для генерации правдоподобных писем.Примеры: письма от имени коллег, регуляторов (ФСТЭК, ФСБ), уведомления о долгах или премиях.
Меры:
- Регулярно обучать сотрудников распознавать фишинг (например, через симуляции атак).
- Внедрить строгий процесс проверки всех внешних писем с вложениями/ссылками через SOC или ИБ-службу.
- Использовать многофакторную аутентификацию (MFA) для критичных систем, чтобы снизить риск утечки учетных данных.
2. Защита цепочки поставок (подрядчики и партнеры)
Угрозы: Подрядчики — слабое звено из-за низкого уровня защиты. Взлом их инфраструктуры открывает доступ к основной компании.Меры:
- Требовать от подрядчиков соблюдения стандартов безопасности (например, наличия SOC, регулярных аудитов).
- Ограничить доступ подрядчиков к внутренним системам по принципу минимальных привилегий.
- Мониторить взаимодействие с подрядчиками на предмет подозрительной активности.
3. Ускорение устранения уязвимостей
Проблема: Средний срок закрытия уязвимостей — около месяца. Для критичных дыр (например, на периметре) это недопустимо.Меры:
- Внедрить автоматизированный процесс управления уязвимостями (VM).
- Приоритезировать уязвимости по критичности (CVSS, есть ли эксплойты в дикой природе).
- Проводить регулярные пентесты и аудиты, особенно для веб-приложений и внешних сервисов.
4. Обнаружение атак с использованием легитимных инструментов (LOLBins)
Примеры: certutil для загрузки вредоносных файлов, AdFind для сбора данных из Active Directory.Меры:
- Внедрить правила корреляции в SIEM для выявления аномального использования системных утилит (например, certutil с параметром -urlcache).
- Мониторить запуск процессов с нестандартными аргументами.
- Использовать EDR-решения с эвристическим анализом для выявления подозрительной активности.
5. Противодействие DDoS-атакам
Тренды: DDoS стал инструментом политически мотивированных групп. Атаки часто проводятся через ботнеты.Меры:
- Настроить защиту периметра (например, CDN, WAF, облачные анти-DDoS-сервисы).
- Регулярно тестировать инфраструктуру на устойчивость к DDoS.
- Закрывать известные уязвимости на внешних ресурсах (например, устаревшие протоколы).
6. Мониторинг и обнаружение скрытых угроз
Проблема: Злоумышленники могут годами оставаться незамеченными из-за слабого мониторинга.Меры:
- Подключить всю инфраструктуру к SOC, а не только критичные системы.
- Внедрить Network Detection and Response (NDR) и UEBA (User and Entity Behavior Analytics) для выявления аномалий в поведении пользователей и администраторов.
- Анализировать логи не только на предмет явных угроз, но и для поиска скрытых паттернов (например, редкие запросы к базам данных). Для этого есть продукты Database Activity Monitoring (DAM) такие как Гарда DBF.
7. Работа с человеческим фактором
Ключевые триггеры: Страх, жадность, срочность. Примеры: письма о штрафах, премиях, увольнениях.Меры:
- Проводить регулярные тренинги по киберграмотности с акцентом на социальную инженерию.
- Внедрить систему отчетности о подозрительных событиях (например, кнопка «Сообщить о фишинге» в почтовом клиенте).
8. Разделение подходов для госструктур и коммерческих компаний
Госучреждения: Основная угроза — шпионаж. Важен мониторинг утечек данных и защита критической инфраструктуры.Коммерческие компании: Риск атак с целью вымогательства (ransomware) и кражи финансовых данных. Акцент на защиту платежных систем и резервное копирование.
9. Использование современных технологий в SOC
- Автоматизация рутинных задач (например, обработка инцидентов через SOAR).
- Внедрение Threat Intelligence для прогнозирования угроз.
- Профилирование нормального поведения пользователей и систем для быстрого выявления отклонений.
Итоговые приоритеты для безопасника:
- Усилить защиту от фишинга: Обучение сотрудников + MFA.
- Контролировать цепочку поставок: Аудит подрядчиков + сегментация сетей.
- Закрывать уязвимости быстрее: Автоматизация VM + пентесты.
- Детектировать использование LOLBins: Настройка SIEM/EDR.
- Мониторить всю инфраструктуру: Отказ от избирательного подключения к SOC.
- Готовиться к DDoS: Обновление периметра + стресс-тесты.
Эти меры помогут снизить риски как целевых атак, так и массовых угроз, а также минимизировать ущерб в случае успешного взлома.
Читайте канал Топ Кибербезопасности