Как вы можете обеспечить себе защиту от прогнозируемых изменяющихся угроз
17 декабря главный редактор Symantec Threat Hunter Team Дик О’Брайен (Dick O’Brien) обобщил результаты исследований кибератак, проведенных в течение года, и представил пять основных прогнозов, которые дают представление о том, что ждет индустрию кибербезопасности в 2025 году. Прогнозы указывают на рост российской киберагрессии, растущую экосистему вымогательского ПО, атаки на некогда надежные облачные платформы, еще большее использование инструментов Living Off the Land (LOTL) и распространение группировок вымогательского ПО на новые территории.
Как обычно, выводы этих известных экспертов по угрозам показывают, насколько ценным активом является команда Symantec Threat Hunter Team для руководителей SecOp во всем мире. И хотя предвидение угроз очень важно для вашей защиты, необходимо также убедиться, что у вас есть средства защиты, необходимые для этой защиты.
Прогнозы и решения от экспертов по продуктам
Миссия Symantec и Carbon Black заключается в обеспечении безопасности корпоративного уровня для всех. Распространение средств киберпреступности и рост числа злоумышленников подвергают риску все организации, поэтому они заслуживают той защиты, которой традиционно пользуются крупнейшие предприятия. Представляем вам результаты опроса экспертов по продуктам Symantec и Carbon Black, который был проведен, чтобы узнать их мнение о том, как обезопасить себя от угроз, с которыми мы столкнемся в 2025 году и в последующие годы.
1. Российские агрессоры (и все остальные) столкнутся с EDR и контролем приложений.
Злоумышленники могут атаковать откуда угодно, но интеллектуальная защита делает все возможное. С помощью облачного решения Carbon Black для обнаружения и реагирования на конечных точках (EDR) или локального EDR от Symantec организации могут обнаруживать сетевые подключения с российских IP-адресов и выявлять методы, используемые такими преступными группировками, как Dragonfly, направленными на критическую инфраструктуру. Контроль приложений, впервые разработанный компанией Carbon Black и ее предшественником Bit9, позволяет запускать в вашей среде только доверенные приложения и файлы, блокируя вредоносный код и исполняемые файлы, что является частью системы нулевого доверия. Carbon Black App Control можно развернуть в локальной или облачной среде, чтобы защитить активы, на которые не способны другие решения, например, устаревшие операционные системы и устройства точек продаж.
2. Злоумышленники рассчитывают на то, что у вас есть базовая защита.
Независимо от того, является ли их оружием программа-вымогатель или другая техника, злоумышленники часто делают свой ход, полагая, что в вашей организации используется только базовая защита. Вам необходимо доказать, что они ошибаются. Такие средства защиты, как Symantec EDR и Carbon Black EDR, могут обнаружить поведение угроз, обычно связанное с вымогательством, – поведение, которое не фиксируют другие инструменты фронтальной защиты. В то же время решения для предотвращения потери данных (DLP), такие как Symantec DLP, предотвращают доступ к конфиденциальным данным, независимо от вектора атаки. А данные – это то, за чем охотятся злоумышленники.
3. У атак типа Living Off the Land (LOTL) может быть меньше возможностей для деятельности.
Число атак LOTL растет, злоумышленники используют функции и инструменты операционной системы для запуска программ-вымогателей и других нападений. (Почти половина атак вымогательского ПО в период 2021-2023 гг. использовала инструменты LOTL). Новейшие решения в области кибербезопасности могут помочь предотвратить такие вторжения. Одно из них – Adaptive Protection, уникальная функция Symantec Endpoint Security (SES), которая автоматически блокирует аномальное использование легитимных инструментов и программного обеспечения. Кроме того, пользователи Symantec EDR могут подписаться на список наблюдения за уязвимыми и вредоносными драйверами, которые могут стать целью LOTL.
4. «Идентификация» станет следующей большой областью в сфере обнаружения и аналитического предотвращения на основе данных.
Теперь злоумышленники похищают идентификационные данные и отслеживают поведение, чтобы полностью маскироваться под легитимных пользователей – даже с повышенными привилегиями. Выявлять такие атаки, основываясь только на использовании инструментов, становится все сложнее, поэтому все чаще приходится включать информацию об идентификации и доступе в логику обнаружения. Отрасль вернется к анализу поведения пользователей и объектов (UEBA), направляя его по более интегрированным и целенаправленным путям.
5. Корреляция останется святым Граалем, но централизация будет иметь свои нюансы.
Сейчас все признают, что кибербезопасность должна основываться на данных, что необходимо собирать телеметрию на совершенно новом уровне и что информация должна коррелировать между доменами сети, конечными точками, информацией, идентификационными данными и инфраструктурой. Поставщики будут мыслить нестандартно, когда дело дойдет до централизации, активно используя такие концепции, как интеллектуальная фильтрация, многоуровневая агрегация и перекрестная корреляция и будут создавать архитектуры, специализированные для кибербезопасности.
6. Клиенты ожидают автоматизации и коммерциализации прорывов прошлого десятилетия.
Несколько лет назад клиенты не были готовы отдать управление потенциально опасными для карьеры операциями в руки передовой аналитики, машинного обучения или искусственного интеллекта. Но теперь клиенты спрашивают: «Если вы можете уверенно обнаруживать и легко реагировать, почему вы не автоматизировали все это для нас?» Они хотят, чтобы то, что несколько лет назад было передовым и интерактивным, стало встроенным и автоматическим. Поставщики, хранящие многолетний структурированный анализ атак и информацию об угрозах мирового класса, будут иметь все возможности для того, чтобы немедленно воспользоваться преимуществами крупноязычных моделей (LLM) и обеспечить такое будущее. Поставщики, не обладающие такими возможностями, будут испытывать трудности.
7. Обнаружение угроз и реагирование на них будут консолидированы в гибридных средах.
Гибридные рабочие среды обостряют проблему защиты конечных точек в различных локальных и облачных системах. В 2025 году потребуются единые системы обнаружения угроз и реагирования на них. Эти платформы должны будут сочетать EDR, расширенное обнаружение и реагирование (XDR) и оркестровку безопасности для мониторинга, обнаружения и устранения угроз в режиме реального времени. Переход на новые технологии использует автоматизацию и аналитику угроз для сокращения «слепых зон» в распределенном штате сотрудников и ускорения времени реагирования. Решения, обеспечивающие глубокую видимость поведения конечных точек и интеграцию с более широкими экосистемами анализа угроз, лучше всего подходят для решения этой задачи.
8. Передовые стратегии предотвращения потери данных (DLP) будут направлены на децентрализованные рабочие процессы.
Рост числа инструментов генеративного искусственного интеллекта, удаленной работы и децентрализованных рабочих процессов повысил риск непреднамеренной или злонамеренной утечки данных. Организации будут отдавать предпочтение передовым DLP-стратегиям, включающим защиту данных с учетом контекста и (как отмечалось выше) интеллектуальную аналитику поведения пользователей. В 2025 году DLP-решения будут развиваться благодаря обработке естественного языка (NLP) и машинному обучению, что позволит в режиме реального времени обнаруживать обмен конфиденциальными данными между платформами для совместной работы и облачными сервисами. Все большее значение будут приобретать проактивные меры, такие как автоматическое редактирование и гранулярный контроль доступа.
9. Стратегии каналов продаж в сфере кибербезопасности изменятся.
Традиционные каналы продаж уже не способны справиться со сложностями современного ландшафта кибербезопасности. Организации все чаще признают, что для расширения стратегии каналов сбыта требуется не просто транзакционное партнерство, а экосистема сотрудничества, в которой партнеры получают инструменты, обучение и знания, необходимые для предоставления бесшовных интегрированных решений через местных партнеров, которых они знают и которым доверяют. По мере продвижения к 2025 году новая модель выхода на рынок, возглавляемая новаторской партнерской программой Catalyst компании Broadcom, способна задать тенденцию, которой, вероятно, последуют другие технологические компании.
Это не единственные тенденции, которые определят 2025 год, но можно быть уверенным, что в какой-то момент они попадут в поле вашего зрения. Надеемся, что у вас есть все необходимые меры защиты, чтобы уверенно и компетентно встретить вызовы этого года.
Источник: 9 More Predictions for 2025
