РБК Компании
Главная «Сиссофт» 5 декабря 2024

Как разработать эффективные методы защиты конечных точек

Эксперт компании «Cистемный софт» о защите конечных точек
Как разработать эффективные методы защиты конечных точек
Источник изображения: Личный архив компании Системный Софт
Андрей Липкин
Андрей Липкин
Технический менеджер ключевых проектов компании «Cистемный софт»

Технический менеджер ключевых проектов компании «Cистемный софт»

Подробнее про эксперта

С увеличением числа и разнообразия кибератак необходимость в эффективных стратегиях защиты конечных точек становится все более актуальной, так как это наиболее уязвимые элементы ИТ инфраструктуры компании.

О том, каким киберугрозам подвержены конечные точки и как от них защититься, рассказывает Андрей Липкин, технический менеджер ключевых проектов компании «Cистемный софт».

Типичные угрозы для конечных точек

К конечным точкам относятся устройства, которые передают или принимают какие-либо данные: компьютеры, телефоны, серверы, терминалы или тонкие клиенты, телевизоры. Самые уязвимые из них — компьютеры пользователей. Наибольший процент атак приходится именно на рабочие станции, которые выходят в интернет, получают вложения по электронной почте, подключают внешние устройства. Все эти факторы становятся рисками с точки зрения внедрения в инфраструктуру вредоносных объектов.

Можно выделить две типичные категории угроз, которым подвержены конечные узлы:

1. Массовые угрозы. Их цель — получение злоумышленниками прибыли и хищение конфиденциальной информации. Помимо классического вирусного ПО (вирусы-черви, трояны, шифровальщики, вирусы-шпионы, эксплойты и др.), существуют и специфические вирусные объекты, которые значительно сложнее в детектировании

  • Вирусы Буткиты (от англ Boot — загрузка) — загружаются до старта ОС и могут модифицировать сектор MBR.
  • Полиморфные вирусы — вредоносные программы, способные изменять свой код. Это крайне осложняет проведение сигнатурного анализа, поскольку он обнаруживает вирус именно по фрагментам кода.
  • Вирусы, распространяемые путем социальной инженерии — через фишинговые электронные письма, мессенджеры и соцсети. В этом случае злоумышленники используют психологические особенности конкретных людей.
  • Бесфайловые вирусы, тело которых не сохраняется непосредственно на диске. Ранее их использовали в целевых атаках, но сегодня доля таких вирусов в общей картине угроз существенно выросла. Они осложняют сигнатурный анализ, а борьба с ними возможна, преимущественно, с помощью эвристического (поведенческого) анализа. 

2. Направленные таргетированные атаки. Представляют собой спланированные, удаленно управляемые в реальном времени процессы непрерывной и несанкционированной активности в инфраструктуре атакуемой организации. Учитывают ее особенности и средства защиты.  Входной точкой для таких атак чаще всего являются конечные узлы.

Помимо получения прибыли направленные атаки нередко преследуют и другие цели:

  •  ИТ-разведка
  • вывод из строя инфраструктуры или ее отдельных сегментов;
  • блокирование доступа к информации, информационным системам и ресурсам;
  • дискредитация репутации атакуемой организации;
  • манипулирование бизнес-процессами;
  • компрометация персональных данных;
  • кража интеллектуальной собственности и другой коммерчески ценной информации;
  • подмена информации и т. д.

Такие атаки производятся вручную, с применением специфического ПО, зачастую написанного или адаптированного под конкретную инфраструктуру. Нередко они ведутся с применением условно легитимного ПО, на которые антивирусные системы не реагируют.

Пресловутый человеческий фактор

В последнее время злоумышленники все чаще пользуются невысокой киберграмотностью сотрудников, применяя методы социальной инженерии — изучают психотипы сотрудников для открытия «точки входа» в инфраструктуру через них.

Например, если определенный сотрудник часто делает заказы на торговых онлайн-площадках, злоумышленники могут прислать на его почтовый ящик фишинговое письмо со ссылкой на маркетплейс, с полной имитацией интерфейса легитимного сайта. При переходе по ссылке будет загружен специально написанный под эту атаку вредоносный агент, предоставляющий злоумышленнику удаленный доступ к хосту.

Этого агента не будет ни в одной сигнатурной базе, поскольку он используется впервые, а с точки зрения поведения не будет сильно отличаться от стандартных инструментов удаленного доступа, которые нередко используют системные администраторы. После этого путь в инфраструктуру будет полностью свободен. Это лишь один из примеров, как таргетированная атака может разворачиваться через рабочую станцию пользователя.

Выбираем стратегию защиты конечных точек

Для защиты данных и минимизации рисков атак сегодня необходим комплексный подход, использующий средства защиты информации, предназначенные для противодействия различным типам угроз — внедрение антивирусных решений, системы противодействия направленным атакам, регулярное обновление программного обеспечения, а также обучение сотрудников и создание культуры безопасности внутри организации.

Стоит отметить, что для противодействия направленным и массовым атакам используются, как правило, различные решения, разработанные для определенных целей.

  • Системы класса EPP для защиты конечных точек. Это классические антивирусы для компьютеров, решения для защиты виртуальной среды на уровне ВМ, производственной среды, встраиваемых систем и другие. 

    EPP-решения зачастую используют сигнатурный анализ, основанный на обнаружении по фрагментам кода, хранящимся в сигнатурной базе, а также эвристический анализ, направленный на обнаружение вредоносных программ, которые не зафиксированы в вирусных базах данных.

    EPP-решения имеют функционал контроля запуска и установки приложений, контроля подключения внешних устройств, доступа пользователей в интернет, возможности шифрования дисков и т. д. Как правило, они являются полностью автоматическими и работают в соответствии с преднастроенными политиками. Защищают в большей степени от массовых и несложных направленных атак.

  • Sandbox или песочницы имеют встроенную изолированную виртуальную среду, полностью имитирующую реальную рабочую станцию или сервер. После запуска подозрительного объекта в изолированной среде проводится анализ его поведения и выдается вердикт по легитимности этого ПО. Песочницы бывают как автоматические, так и с возможностью ручного анализа файлов и ссылок. Защищают как от массовых, так и от направленных атак.
     
  • Решения класса EDR, предназначенные для расширенного анализа угроз на конечных точках. Они собирают с ОС необходимую телеметрию и анализируют ее на предмет наличия паттернов направленных атак. В отличие от антивирусов, задача которых бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз. При этом они не могут полностью заменить антивирусы (EPP), поскольку эти две технологии решают разные задачи.

    Как правило, система класса EDR состоит из агентов, устанавливаемых на узлы. Агент ведет мониторинг запущенных процессов, действий пользователя и сетевых коммуникаций и передает информацию на локальный сервер или в облако.

    Серверный компонент анализирует полученные данные при помощи встроенных технологий обнаружения направленных атак, сопоставляет их с базами IOC, репутационными базами и другой доступной информацией о сложных угрозах. Если EDR-система обнаруживает событие с признаками киберинцидента, она оповещает об этом сотрудников службы безопасности.

При построении защиты инфраструктуры на уровне конечных узлов недостаточно использовать только одно защитное решение, например, антивирус или решение от направленных атак. Необходим комплексный подход, который обеспечивает не только защиту от известных угроз, но и возможность адаптации к новым вирусам, которые постоянно эволюционируют.

Для комплексной защиты конечных точек на рабочих станциях и серверах необходимо установить EPP-решение, защищающее от массовых угроз, использовать EDR-решение для анализа телеметрии на предмет наличия паттернов направленных атак и развернуть песочницу в ИТ инфраструктуре компании для выдачи окончательного вердикта по вызывающим подозрение объектам.

Учитывая индивидуальность каждой отдельно взятой инфраструктуры и многообразие решений на рынке, советуем ответственно подходить к построению архитектуры защиты узлов и к выбору самих решений. Зачастую создание экосистемы из ПО одного вендора является оптимальным вариантом, но иногда системы от разных производителей могут эффективнее дополнять друг друга за счет своих сильных сторон.

Доверьтесь профессионалам

При сложной, распределенной инфраструктуре и наличии большого числа решений одного класса от различных разработчиков, выбор стратегии защиты конечных точек может стать непростой задачей и потребовать привлечение профессиональных специалистов по построению защиты ИТ инфраструктуры.

Специалисты проведут аудит систем безопасности, помогут выявить риски и уязвимости, разработают стратегии их устранения, подберут и внедрят оптимальную защиту ИТ-инфраструктуры компании и обучат сотрудников основам кибербезопасности.

Такой подход позволит компаниям сосредоточиться на собственных бизнес-процессах, оставляя вопросы безопасности профессионалам.

Интересное:

Новости отрасли:

Все новости:

Профиль

Дата регистрации04.05.2008
Уставной капитал100 000,00 ₽
Юридический адрес г. Москва, вн.тер.г. муниципальный округ Южное Тушино, пр-д Походный, д. 4, к. 1, эт 7 пом XII ком 19 офис 702
ОГРН 1087746599335
ИНН / КПП 7733654906 773301001
Среднесписочная численность241 сотрудник

Контакты

Адрес Россия, г. Москва, 1-ый Волоколамский пр-д, д. 10, стр. 1 БЦ «Диапазон»

Социальные сети

ГлавноеЭкспертыДобавить
новость
КейсыМероприятия