Выявлять киберугрозы становится все труднее, поскольку организации расширяют свое облачное пространство, подключают больше устройств к Интернету и переходят на гибридное рабочее место. Злоумышленники пользуются этим расширенным охватом и фрагментацией инструментов безопасности, используя следующие типы тактик:
- Фишинговые кампании. Одним из наиболее распространенных способов проникновения злоумышленников в компанию является рассылка электронных писем, которые обманом заставляют сотрудников скачивать вредоносный код или предоставлять свои учетные данные.
- Вредоносные программы. Многие киберзлоумышленники используют программное обеспечение, предназначенное для повреждения компьютеров и систем или сбора конфиденциальной информации.
- Программы-шантажисты. Злоумышленники, использующие программы-шантажисты, которые представляют собой тип вредоносного ПО, держат критически важные системы и данные в заложниках, угрожая раскрыть персональные данные или украсть облачные ресурсы для майнинга биткойнов, пока не будет выплачен выкуп. В последнее время управляемые человеком программы-шантажисты, с помощью которых группы киберзлоумышленников получают доступ ко всей сети организации, стала растущей проблемой для групп безопасности.
- Распределенные атаки типа "отказ в обслуживании" (DDoS). Используя серию ботов, злоумышленники нарушают работу веб-сайта или сервиса, наводняя его трафиком.
- Внутренняя угроза. Не все киберугрозы исходят извне организации. Также существует риск того, что доверенные люди, имеющие доступ к конфиденциальным данным, могут непреднамеренно или злонамеренно нанести вред организации.
- Атаки с использованием удостоверений. Большинство нарушений связано с компрометацией персональных данных, то есть когда киберзлоумышленники крадут или угадывают учетные данные пользователя и используют их для получения доступа к системам и данным организации.
- Атаки Интернета вещей (IoT). Устройства Интернета вещей также уязвимы для кибератак, особенно устаревшие устройства, которые не имеют встроенных средств управления безопасностью, которые есть в современных устройствах.
- Атака через цепочку поставок. Иногда злоумышленник нацеливается на организацию, вмешиваясь в программное или аппаратное обеспечение, поставляемое сторонним поставщиком.
- Внедрение кода. Используя уязвимости в обработке исходного кода внешних данных, киберпреступники внедряют в приложение вредоносный код.
Обнаружении угроз Чтобы опередить рост атак на кибербезопасность, организации используют моделирование угроз для определения требований безопасности, выявления уязвимостей и рисков, а также определения приоритетов их устранения. Используя гипотетические сценарии, SOC пытается проникнуть в сознание киберпреступников, чтобы они могли улучшить способность организации предотвращать или смягчать инциденты безопасности. Структура MITRE ATT&CK® — это полезная модель для распознавания распространенных методов и тактик кибератак.
Многоуровневая защита требует инструментов, которые обеспечивают непрерывный мониторинг среды в реальном времени и выявляют потенциальные проблемы безопасности. Решения также должны перекрываться, чтобы в случае взлома одного метода обнаружения второй обнаружил проблему и уведомил группу безопасности. Решения по обнаружению киберугроз используют различные методы выявления угроз, в том числе:
- Обнаружение на основе подписи. Многие решения безопасности сканируют программное обеспечение и трафик для выявления уникальных подписей, связанных с определенным типом вредоносного ПО.
- Обнаружение на основе реакции на событие. Чтобы обеспечить обнаружение новых и возникающих киберугроз, решения безопасности также отслеживают действия и поведение, типичные для кибератак.
- Обнаружение на основе аномалий. ИИ и аналитика помогают группам распознать типичную реакцию на событие пользователей, устройств и программного обеспечения, чтобы они могли выявить что-то необычное, что может указывать на киберугрозу.
Хотя программное обеспечение имеет решающее значение, люди играют не менее важную роль в обнаружении киберугроз. Помимо сортировки и исследования предупреждений, генерируемых системой, аналитики используют методы поиска киберугроз для упреждающего поиска
признаков компрометации или поиска тактик, методов и процедур, которые предполагают наличие потенциальной угрозы. Эти подходы помогают SOC быстро обнаруживать и останавливать сложные, труднообнаружимые атаки
Следите за новостями Microsoft Security