Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies 🍪
Настройки cookie
27 октября 2020
Главная техническая задача ИБ-специалиста
на примере Check Point SandBlast
Понятие "ИБ-специалист" весьма обширное. Очень уж много у него различных задач и сфер деятельности. Но в рамках этой статьи мы сосредоточимся именно на кибератаках и технических мерах защиты от них.
Для начала давайте рассмотрим сам процесс типовой атаки и возможные векторы этих "нападений". Согласитесь, гораздо легче защищаться, когда знаешь, как тебя будут "штурмовать". Уже после этого можно начать размышлять о концептах и методах защиты.
Cyber Kill Chain
Почти уверен, что большинство читателей этого блога уже слышали о таком понятии как "Cyber Kill Chain". По сути, эта "убийственная цепочка" описывает все шаги типовой кибератаки. Их всего 7:
Разведка. В случае таргетированной атаки злоумышленник осуществляет сбор информации о жертве (email, телефон, сайты, должность, начальник и т.д.).
Вооружение. Создание злоумышленником вредоносного ПО (pdf, doc, excel и т.д.).
Доставка. Отправка вредоносного файла или ссылки на файл. Для доставки могут использоваться email, sms, messenger.
Эксплуатация. Исполнение эксплойта на компьютере жертвы (в браузере, pdf-reader и т.д.).
Установка. Инсталляция дополнительного вредоносного ПО, чтобы закрепиться на атакованном компьютере.
Контроль. Получение полного контроля над компьютером жертвы. Подключение к C&C серверам.
Достижение цели. Кража информации, шифрование и уничтожение. Данный этап может оттягиваться годами, при этом никто не будет подозревать, что компьютер уже заражен.
Что делать с этой информацией?
Защита на каждом шаге этой "убийственной цепочки" – пример идеальной системы. Если не получится отразить атаку на первых этапах, то важно иметь возможность заблокировать ее в будущем. Здесь мы и подходим к теме нашей статьи.
Главная техническая задача ИБ-шника
С этапами типичной кибератаки все понятно. Но как это выглядит со стороны ИБ-специалиста? С технической точки зрения работа "безопасника" сводится к трем основным задачам:
Detect & Prevent. Как можно раньше обнаружить или предотвратить атаку. Мы должны пытаться сделать это сразу на всех уровнях корпоративной сети (периметр, ядро, рабочие станции, облачные сервисы).
Contain. Локализовать и остановить атаку как можно быстрее (например, распространение шифровальщика по сети). Невозможно гарантировать 100% предотвращение всех возможных угроз, даже при использовании лучших средств защиты. Нужно быть готовым к активным действиям после успешной атаки на ваши ресурсы.
Forensic analysis. Как только вы остановили атаку, необходимо провести детальный анализ произошедшего. Как была совершена атака (entry point), какая уязвимость использовалась, каким данным был нанесен ущерб, все ли удалось восстановить и как предотвратить следующие атаки.
Check Point SandBlast Технологии Check Point SandBlast позволяют выполнить все три поставленные задачи во всех возможных областях атаки - периметр сети (Gateway), рабочие станции (SandBlast Agent), мобильные устройства (SandBlast Mobile) и облачные сервисы (CloudGuard SaaS). Давайте рассмотрим подробнее.
Detect & Prevent. Здесь все очевидно. Check Point уже много лет подряд является одним из лидеров в области предотвращения таргетированных атак. То есть прежде, чем что-то попадет к вам в сеть, вы фильтруете весь зловредный контент, тем самым уменьшая площадь атаки.
Contain. Если какому-то зловреду все же удалось проникнуть в сеть, то механизмы Check Point позволяют быстро определить его присутствие и заблокировать активность с помощью блейда Anti-Bot и других продвинутых механизмов отслеживания (AntiExploit, AntiRansomware и т.д.).
Forensic analysis. Очень важная задача, о которой многие "безопасники" забывают. Check Point SandBlast в автоматическом режиме проводит расследование всех инцидентов и предоставляет не только подробную аналитику, но и возможность восстановления данных (SandBlast Agent). Примечательно, что новые отчеты с шлюзов и агентов Check Point позволяют рассмотреть атаку в формате Cyber Kill Chain. Помогает в этом новый режим представления — MITRE matrix:
Чтобы детально рассмотреть эти новшества, мы подготовили цикл из четырех статей:
Заключение Понимая, как важно обеспечивать безопасность на всех уровнях сети, мы объединили Check Point SandBlast Agent, SandBlast Mobile и CloudGuard SaaS в комплексное решение Check Point SandBlast Remote Access Pack, которое, в свою очередь, обеспечит полноценную защиту данных вашей компании в условиях удаленной работы.
SandBlast Remote Access Pack
Узнайте подробнее о решении и соберите свой Pack, перейдя по ссылке