Что защищать в первую очередь: 5 актуальных киберугроз от Cisco

Тенденции в области кибербезопасности от Cisco

Актуальность защиты информации в 2020 году поднялась до предельного уровня в связи с пандемией и переходом предприятий на удаленную работу. На фоне возросших рисков сетевой безопасности компании принялись в сжатые сроки масштабировать системы защиты данных и удаленного доступа к ним. В период относительной стабилизации ситуации компания Cisco решила подвести итоги прошлого года, по результатам которых выделила 5 основных трендов в области защиты информации.

«В 2020 году отмечался массовый всплеск угроз, причинами которого могли стать как ускорение цифровой трансформации во всех индустриях, так и повсеместный переход на удаленную работу, – рассказал Алексей Лукацкий, бизнес-консультант по безопасности Cisco. – В течение года количество кибератак росло, повышалась их сложность, и противостоять им становилось все труднее». Он подчеркнул важность исследований, которые ежегодно проводит компания Cisco, и сообщил, что отчет по итогам 2020 года содержит не только сведения об актуальных рисках, но и рекомендации по защите от кибератак. 

Тенденции кибербезопасности: на чем сфокусироваться в 2021 году

  • Тенденция 1. Защита данных в сфере здравоохранения. 

Сфера здравоохранения стала ключевой в период пандемии, риски в которой особенно высоки: от данных, используемых в медицинских IT-системах, буквально зависят человеческие жизни. Cisco отмечает, что большую проблему составляет использование устаревших технологий. При этом для медицинских учреждений стоит выбор между безопасным использованием унаследованных устаревших систем и технологий, а также рисками внедрения новых, которые требуют более высокого уровня сетевой защиты.

  • Тенденция 2. Защита подключения при дистанционной работе. 

Одно из препятствий для эффективной удаленной работы – необходимость получения доступа ко всем корпоративным ресурсам с домашнего ПК. В связи с этим многие компании использовали технологии Remote Desktop для организации удаленного подключения к рабочему компьютеру. Однако протоколы Remote Desktop Protocols (RDP), по которым производится такое подключение, могут создавать проблемы кибербезопасности. К ним относятся кража идентификационных данных, атака man-in-the-middle (внедрение в канал связи между двумя сторонами) и дистанционное выполнение кода (злоумышленник выполняет свой собственный код на чужом компьютере или сервере).

В Cisco отмечают, что компании, использующие любые решения для удаленных рабочих столов, а также протоколы RDP, должны усилить меры киберзащиты. Так, не следует пользоваться технологией Remote Desktop непосредственно через интернет. Сначала необходимо установить VPN-соединение, по которому будет производится безопасный доступ к необходимым ресурсам. Также Cisco рекомендует использовать мультифакторную аутентификацию для подтверждения личности, а также блокировать доступ после нескольких неудачных попыток его получения.

  • Тенденция 3. Конфиденциальность и защита личных данных.

Важность защиты личных данных также возросла во время пандемии. Более трети специалистов по информационной безопасности, принявших участие в опросе Cisco, считают, что конфиденциальность информации является важнейшим направлением деятельности, наряду с оценкой и управлением рисками, а также реагированием на угрозы.

  • Тенденция 4. Противодействие программам-вымогателям. 

В 2020 году были замечены новые тактики программ-вымогателей. Так, например, появились программы с таймерами обратного отсчета с угрозами уничтожения данных и запуском атаки Big Game Hunting («Охота за большой добычей»). Такая атака использует зараженную систему для дальнейшего доступа к сети и захвата дополнительных систем. Также были зафиксированы зловредные рассылки с объявлениями о продаже доступа к различным сетям. При этом часто злоумышленники использовали «двойной шантаж»: сначала похищали корпоративные данные, а после этого запускали программы-вымогатели, нанося двойной урон.

Согласно выводам Cisco, для успешной работы программ безопасности необходимо выполнять два важных действия. Первое – использовать новейшие технологии в области ИБ, превентивно обновляя их, и второе – обеспечивать хорошую интеграцию этих технологий, в том числе со сторонними решениями. Также важно своевременно реагировать на инциденты, по возможности автоматизируя процесс их обнаружения и ликвидации, соблюдать принцип «нулевого доверия» (подтверждение данных на каждом этапе) и периодически инвентаризировать активы компании.

  • Тенденция 5. Защита паролей и других идентификационных данных. 

Согласно отчету Verizon 2020 Data Breach Investigations Report, похищение идентификационных данных занимает второе место по частоте среди действий злоумышленников. Так, взломщики, получая пароли, впоследствии используют их для «незаметного» получения доступа к сети компании. При этом идентификационные данные, хранящиеся в памяти ПК, базах данных или конфигурационных файлах, «выкачиваются» с помощью техники credential dumping.

Чтобы предотвратить такое «выкачивание», рекомендуется контролировать доступ к базам данных, проверять подлинность локальной системы безопасности LSASS и системы управления средой хранения SAM. Также следует анализировать журналы на предмет внеплановой активности на контроллерах домена и отслеживать неназначенные соединения с ними с IP-адресов. Кроме того, необходимо следить за аргументами командной строки для предотвращения атак типа credential dumping. 

Источник: cisco