Защита от киберинцидентов: что делать, если стандартные меры не помогают

Многие организации убеждены, что сочетание антивирусников и межсетевых экранов обеспечит им полную защиту от киберугроз. Однако на каждое воздействие найдется противодействие: злоумышленники тщательно изучают защитные контуры компаний и разрабатывают новые способы обхода современных средств защиты.

Когда стандартные протоколы реагирования оказываются неэффективными

Традиционные методы защиты и стандартные протоколы реагирования на инциденты (IRP) были разработаны для борьбы с известными угрозами, но современные кибератаки становятся все более изощренными и могут легко обходить привычные средства безопасности.

• Иллюзия полной безопасности. Полагаться только на антивирусы, NGFW и бэкапы недостаточно. Злоумышленники используют продвинутые техники, такие как социальная инженерия, атаки на уровне DNS и уязвимости нулевого дня, которые не всегда обнаруживаются стандартными средствами.
• Гибкость и адаптивность. Команды безопасности должны быть готовы быстро реагировать на новые виды угроз, что включает в себя постоянный мониторинг, анализ поведения системы и оперативное принятие решений вне рамок стандартных протоколов.
• Постоянное обновление IRP. Регулярный пересмотр и адаптация протоколов реагирования с учетом актуальных киберугроз и уязвимостей. Это поможет быть на шаг впереди злоумышленников и минимизировать потенциальный ущерб.
• Интеграция современных технологий. Внедрение искусственного интеллекта и методов машинного обучения для обнаружения аномалий и прогнозирования возможных атак. Такие технологии способны выявлять нетипичное поведение в сети, которое может указывать на скрытые угрозы. Выбор вендоров для защиты должен быть за прогрессивными игроками, которые применяет действенные методологии детектирования угроз и их блокировку. Сегмент XDR (Extended detection and response) уже не кажется чем-то непонятным и все больше получает популярность за рубежом, их суть в том, чтобы реагировать на аномалии предиктивно при любом отклонении от нормальных показателей. Эта тактика позволяет предостеречь от более сложных проблем с восстановлением работоспособности в будущем. 

Недооцененные кибератаки на уровне DNS протокола

DNS (Domain Name System) — один из наиболее критичных, но часто игнорируемых элементов сетевой инфраструктуры. Протокол был создан давно и без фокуса на безопасность передаваемых данных, акцент был на скорости. Поэтому злоумышленники активно используют его для проведения скрытых и трудно обнаруживаемых атак.

• Обход систем IDS/IPS. Через DNS злоумышленники могут обходить системы обнаружения и предотвращения вторжений (IDS/IPS) и средства сканирования трафика. Это достигается с помощью автоматически сгенерированных доменов (DGA) или методов социальной инженерии, таких как фишинг и ложные домены. Киберпреступники используют различные каналы — от электронной почты до социальных сетей и мессенджеров — чтобы заманить жертву на вредоносные сайты или заставить ее выполнить опасные действия: отдать учетные данные, загрузить майнер, открыть DNS-туннель для связи со своим командным центром. 
• DNS-туннелирование и ботнеты. Обойти списки вредоносных ресурсов и сигнатурный анализ можно с помощью DNS-туннелирования, а также технологий Fast Flux и ботнет-сетей. DNS-туннелирование позволяет передавать данные через DNS-запросы и ответы, скрывая трафик от традиционных средств безопасности. Это делает возможным скрытое управление вредоносными программами и эксфильтрацию данных.
• Утечка данных через DNS. Злоумышленники могут использовать DNS для эксфильтрации конфиденциальной информации из корпоративной сети. Были зарегистрированы случаи, когда значительные объемы данных утекали через DNS-туннелирование, оставаясь незамеченными для стандартных систем мониторинга. Это подчеркивает необходимость внимательного контроля DNS-трафика на предмет аномалий.

В настоящее время DNS является привлекательной целью для киберпреступников, что подтверждают самые известные компании в сфере информационной безопасности:

• Широкое использование DNS вредоносными программами. 90% вредоносных программ используют DNS на различных этапах атаки (Techradar, 2024). Это позволяет им обходить традиционные системы обнаружения и фильтрации, оставаясь незамеченными.
• Аномальная активность DNS. 88% компаний ежегодно фиксируют аномальную активность, связанную с DNS-атаками (Efficientip, 2022). Это свидетельствует о масштабности проблемы и необходимости уделять ей больше внимания.
• Превентивный потенциал DNS-защиты. Согласно отчету Cisco, 34% целенаправленных атак могут быть предотвращены на уровне DNS (Отчет Cisco Security Threats, 2023). Внедрение эффективных мер безопасности на этом уровне способно существенно снизить риски.

Абсолютная защита: реальность или миф

Абсолютная безопасность в киберпространстве недостижима из-за постоянной эволюции методов атак и появления новых уязвимостей. Однако компании могут существенно снизить риски, приняв проактивный подход к безопасности.

• Многоуровневая защита. Комбинирование различных средств безопасности — от сетевых фильтров до средств обнаружения вторжений — создает более сложный барьер для злоумышленников.
• Подход Zero Trust. Следовать принципу, что ни один пользователь или устройство не заслуживают доверия по умолчанию. Постоянная проверка и аутентификация всех запросов на доступ минимизирует внутренние риски.
• Постоянное обучение и развитие. Инвестирование в обучение персонала и повышение квалификации специалистов по безопасности помогает организации оставаться в курсе последних тенденций и угроз.