Перед корпоративными ИТ- и безопасности-командами стоит незавидная задача — сдерживать неустанных и все более изощренных злоумышленников. Они часто сталкиваются с ограниченными ресурсами и расширяющейся поверхностью атаки, но набор и удержание высококлассных специалистов по безопасности для управления внутренним центром операций безопасности (SOC) для многих организаций недостижимо. В то же время угрозы продолжают развиваться, а злоумышленники оттачивают свои методы, что приводит к инцидентам, которые часто приводят к остановке бизнес-операций.
Чтобы не оказаться в невыгодном положении, защитникам нужен проактивный подход, сочетающий в себе профилактику, обнаружение и устранение угроз с точной и своевременной аналитикой угроз. Если создание таких возможностей собственными силами нецелесообразно, то аренда или покупка их в качестве услуги является более реалистичным вариантом. Конечно, это не новая концепция — небольшие организации уже десятилетиями пользуются преимуществами новых ИТ-инноваций через бюро, поставщиков управляемых услуг и облачные вычисления.
Существуют веские аргументы в пользу того, чтобы поступать так же с передовыми услугами кибербезопасности, и именно здесь управляемое обнаружение и реагирование (MDR) может оказать значительное влияние. MDR предоставляет организациям проактивные, основанные на экспертизе и масштабируемые возможности мониторинга и поиска угроз без затрат на элитный центр оперативного реагирования (SOC). Не так давно MDR было дорогостоящим и сложным решением — хотя и менее, чем специализированная внутренняя инфраструктура. Теперь это становится все более практичным решением и для небольших организаций.
Недавно мы встретились с директором ESET Threat Research Жаном-Ианом Бутином, чтобы поговорить о работе его команды и о том, как исследования угроз и аналитика влияют на рабочие процессы MDR. Жан-Иан также рассказал нам о том, в каких случаях сочетание передовых технологий и человеческого опыта приносит наибольшую практическую пользу, особенно для средних и малых предприятий.
Что получают большинство пользователей из малого бизнеса от ESET Threat Research? Как это меняется, когда они используют ESET MDR?
У ESET есть команда по исследованию угроз, работающая в разных регионах; я вхожу в команду в Монреале, но у нас есть исследователи по всей Европе и в США.
Есть то, что доступно всем: наши публикации на WeLiveSecurity, а также доклады и презентации на конференциях по кибербезопасности по всему миру.
Есть и то, что доступно только бизнес-клиентам ESET: всевозможные «советы и рекомендации», то есть информация о злоумышленниках — что они делают, как действуют — все то, что помогает нашим клиентам оставаться в безопасности.
Когда речь заходит об управляемом обнаружении и реагировании, аналитика угроз является ключевым компонентом, который помогает нашей команде по обнаружению и реагированию понять, как действуют различные злоумышленники, и как они могут использовать эту информацию для защиты наших клиентов от нарушений.
Мы немного поговорили о верхушке айсберга — обо всех внутренних процессах MDR, которые пользователи редко видят, но которые имеют абсолютно критическое значение. Не могли бы вы это объяснить?
Различные оповещения, которые могут появляться в вашей консоли, иногда будут обнаружениями на конечных устройствах, которые мы хотим расследовать. И моя команда отвечает за то, чтобы все новые образцы и угрозы обрабатывались и обнаруживались в средах клиентов. Так что часть роли команды действительно заключается в том, чтобы убедиться, что все эти новые тенденции, все эти новые образцы просматриваются, расследуются, а затем обнаруживаются на объектах наших клиентов. Это один из ключевых аспектов.
Мы уделяем большое внимание систематизации данных аналитики угроз, касающихся киберпреступности, программ-вымогателей, групп APT и государственных субъектов, нацеленных на глобальные организации. Наши исследователи используют эти данные, чтобы сопоставить новые инциденты с прошлыми случаями.
Они также оценивают серьезность инцидента, и мы можем определить, какова могла быть цель атаки. Это действительно дает клиенту полное представление о том, что могло произойти, произошло ли нарушение безопасности или нет, и даже о конкретной группе, которая нацелилась на него.
Что MDR добавляет к существующей защите конечных точек ESET?
MDR более адаптирован к потребностям клиентов, а отношения с ними улучшаются и укрепляются. Но результаты работы моей команды распространяются на весь набор продуктов.
Были разговоры о частных отчетах ESET : насколько они актуальны для большинства малых и средних предприятий? Сталкиваются ли они с целевыми атаками? А как насчет государственных игроков?
Профиль угроз будет варьироваться от одной организации к другой, а субъект, действующий от имени государства, как правило, имеет заранее определенные цели и будет выбирать жертв, которые хорошо соответствуют этим целям.
Что касается киберпреступности, то это широкая тема. Это массовые атаки. Мы видим много программ для кражи информации. Мы также видим много программ-вымогателей.
Итак, наша роль заключается в том, чтобы понять, как действуют все эти группы, и обеспечить, чтобы в случае появления у них новых методов мы могли действовать очень оперативно и блокировать все попытки.
Это конечная цель, но в то же время существует так много злоумышленников, занимающихся подобными вещами, и существует гораздо больше семейств вредоносного ПО. Обеспечение защиты клиентов — это действительно ежедневная работа. Работы хватает, это точно.
Джеймс Родевальд, один из аналитиков по безопасности ESET, использует концепцию триангуляции: обнаружение угрозы в реальной среде, получение информации от пострадавшего клиента и проверка у команды по анализу угроз. В качестве примера он приводит атаку с использованием FamousSparrow. Можете ли вы подробнее рассказать об этом со своей точки зрения?
Важно поддерживать тесные отношения с людьми, которые непосредственно занимаются такими случаями, потому что основная роль моей команды заключается в анализе телеметрии: мы собираем данные со всех конечных точек и пытаемся найти интересные случаи, а также те, над которыми нам нужно работать, чтобы улучшить общую защиту.
Но иногда команда MDR натыкается на что-то, с чем мы сталкивались в прошлом, и это также позволяет нам лучше понять, как на самом деле действует злоумышленник.
В том конкретном случае это было для нас откровением, потому что мы довольно долго не сталкивались с этим злоумышленником. Всякий раз, когда возникает случай, связанный с клиентом, использующим MDR, это лучше с точки зрения исследования, потому что более тесные отношения с клиентом означают, что мы больше знаем о его инфраструктуре, и поэтому можем помочь ему лучше. Мы можем лучше понять последствия данного случая. Эта информация затем передается другим клиентам службы анализа угроз, поэтому мы стараемся максимально тесно взаимодействовать со всеми этими командами и связывать эти инциденты, чтобы расширить охват и лучше понимать все эти угрозы.
Вы говорили о рабочих отношениях с аналитиками MDR и командой D&R (Detection and Response). Как это меняет ваш подход к работе и ваше понимание угроз, когда у вас есть такие личные отношения с аналитиками и, возможно, с самим клиентом?
Это меняет все, потому что благодаря MDR у нас уже налажены рабочие отношения с лицом, ответственным за безопасность в данной организации, поэтому мы можем очень быстро понять масштаб атаки, что именно произошло, почему туда проникли злоумышленники и так далее.
Информация, доступная нам, в разы превосходит то, что мы можем получить с обычных конечных точек. Поэтому для нас эти отношения бесценны с точки зрения аналитики, видимости и нашего понимания ситуации.
В прошлом году в Великобритании произошла целая серия атак, в результате которых были скомпрометированы такие крупные организации, как Jaguar Land Rover и Marks & Spencer, через аутсорсинговые службы поддержки. Малые и средние компании также используют подобные аутсорсинговые услуги в рамках своей цепочки поставок, и зачастую они сами являются менее защищенными звеньями в цепочке поставок более крупных компаний. Стоит ли им беспокоиться?
Риск, связанный с атаками на цепочку поставок, является значительным. На протяжении многих лет было зафиксировано множество случаев, когда злоумышленники нацеливались на уязвимости в цепочке поставок, часто сосредотачиваясь на сторонних поставщиках с менее строгими мерами безопасности. Скомпрометировав таких поставщиков, злоумышленники могут получить первоначальный доступ к сети организации.
Что касается MDR, то его преимуществом является обширная видимость, обеспечивающая полный обзор всех обнаружений и предупреждений. Эта возможность позволяет нам более эффективно выявлять даже незначительные аномалии. Учитывая, что наша команда постоянно отслеживает эти организации на предмет потенциальных инцидентов, мы можем оперативно обнаруживать и реагировать на едва заметные ошибки злоумышленников.
Атаки на цепочку поставок представляют собой серьезные проблемы из-за сложности обеспечения безопасности всех сторонних организаций. Однако внедрение эффективного решения повышает нашу способность быстро и эффективно реагировать на такие события.
Как руководитель команды по исследованию угроз, какую разницу, по вашему мнению, MDR дает клиентам? Каково влияние на организацию, которая пользуется услугой MDR, и на организацию, которая пока не готова сделать этот шаг?
В целом, как я уже упоминал, MDR обеспечивает гораздо более полную постоянную видимость. Если ваша организация подвергается атаке, у вас будут более эффективные инструменты для анализа всех действий злоумышленников и понимания того, что они делали в вашей сети.
Проще говоря, MDR обеспечивает более глубокое понимание атак. С точки зрения исследования угроз это главное преимущество, а еще одной ключевой причиной ценить такую видимость является скорость реагирования. С MDR между исследователями и вашей компанией уже существует безопасный канал связи, что упрощает связь с тем, кто может принять меры для быстрого локализования утечки.
Последний вопрос: что бы вы сказали организациям, которые могут считать MDR слишком сложным или дорогостоящим?
MDR действует как страховой полис, помогая выявлять угрозы, такие как программы-вымогатели, на ранней стадии — часто до того, как возникнут серьезные проблемы. Злоумышленники обычно используют посредников для получения первоначального доступа, но некоторые предупреждающие признаки можно обнаружить заранее. Хотя платить выкуп никогда не рекомендуется, восстановление все равно может привести к сбоям в работе. MDR поддерживает непрерывность бизнеса, чтобы вы могли продолжать сосредоточиваться на своих основных услугах.
Спасибо!