Узнайте, что ваши инструменты пока ещё не показывают.
- Сегодня вопрос не в том, станете ли вы жертвой вымогателей, а в том, успеете ли вы вовремя их обнаружить.
- Однако пробелы в видимости не только замедляют работу. Они открывают путь для латерального перемещения, кражи данных и миллионных убытков, связанных с восстановлением и простоями.
- Чтобы опередить злоумышленников, вам нужно думать как они: тщательно проверять все аспекты вашей среды на наличие слепых зон и предвидеть их следующие шаги.
В первом квартале 2025 года количество атак с использованием программ-вымогателей выросло на 46% (oof), а среднее время пребывания в системе в случаях с программами-вымогателями составило пять дней в 2024 году. Учитывая, что многие атаки происходят в нерабочее время, у защитников остается меньше времени для реагирования, прежде чем APT нанесут серьезный ущерб. По мере сокращения возможностей давление растет во всех отраслях. Независимо от того, являетесь ли вы крупным предприятием или малым бизнесом, программы-вымогатели не делают различий – вероятно, это их единственное достоинство, и весьма печальное. Как и их разнообразные цели, их тактики становятся все более сложными и их все труднее обнаружить.
Буквально в прошлом месяце элитная команда специалистов по поиску угроз Symantec и Carbon Black обнаружила программу-вымогатель Fog, использующую необычный набор инструментов, что может свидетельствовать о целенаправленном шпионаже с целью вымогательства денег (как будто шпионажа само по себе было недостаточно). Эти непонятные комбинации и неожиданные действия указывают на то, что уникальные цепочки сложных тактик, техник и процедур (TTPs) становятся новой нормой.И последствия этого серьезны. В июне банда вымогателей, использующая программу-вымогатель Qilin, раскрыла почти 40 000 номеров социального страхования и нарушила издательскую деятельность компании Lee Enterprises, что привело к затратам на восстановление в размере 2 миллионов долларов и значительным убыткам.
Борьба с программами-вымогателями требует круглосуточного мониторинга и обнаружения, но защитить то, чего не видишь, невозможно. Воспользуйтесь этим контрольным списком, чтобы выявить, что показывает ваша текущая система видимости, и, что еще более важно, что она не показывает.
7 способов увидеть то, что злоумышленники надеются, вы пропустите
На современном поле боя вам необходим более полный обзор инструментов, людей и путей, которые любят использовать злоумышленники. С чего начать?
1. Повышайте видимость идентификационных данных до того, как злоумышленники проникнут в систему
Украденные учетные данные остаются наиболее распространенным вектором первоначального доступа для нарушений, а в 44 % случаев взломов в 2024 году присутствует программа-вымогатель. Однако раннее обнаружение моделей доступа и использования учетных данных помогает блокировать латеральные перемещения, прежде чем злоумышленники смогут даже подумать о запуске шифрования. Что нужно сделать:
- Настройте контроль доступа на основе политик в соответствии с требованиями нормативных требований, не полагаясь на универсальные решения.
- Отслеживайте привилегированные учетные записи, активность MFA и любые аномалии входа в систему в гибридных средах.
2. Наблюдайте за поведением конечных точек (а не только за тем, что запущено)
Конечные точки – это точка нулевого отсчета. Без видимости поведения приложений и процессов вымогатели могут распространяться незаметно. А поскольку конечные точки часто являются наиболее разнообразной и слабо управляемой частью среды, где много упущенных из виду ресурсов, устаревших систем и несогласованных средств контроля, они могут стать рассадником киберпреступной деятельности.
- Выявляйте любые упущенные из виду активы, такие как устаревшие системы и контейнеры. В сочетании с комплексным решением для предотвращения утечки данных (DLP) это поможет устранить места, где злоумышленники могут легко скрыться.
- Применяйте мониторинг и средства контроля к своим приложениям, чтобы разрешить запуск только доверенных приложений, заблокировать остальные и уменьшить поверхность атаки.
3. Следите за своей сетью, чтобы своевременно обнаруживать боковые перемещения
Если вы не видите, как программа-вымогатель перемещается по вашей сети, вы не можете ее остановить. Спросите себя: полностью ли контролируются боковые перемещения или только на периметре?
- Используйте глубокую проверку и расширенную аналитику, чтобы выявлять угрозы между сегментами, а не только на периметре.
- Воспользуйтесь проверкой в реальном времени по всей сети. Решения Security Service Edge (SSE) (особенно интегрированные с SWG, ZTNA и CASB) могут помочь в этом, отслеживая трафик между пользователями, приложениями и потоками данных, независимо от их местоположения.
4. Расширяйте видимость облачных рабочих нагрузок или любого места хранения данных
Программы-вымогатели будут охотиться за вашими данными, где бы они ни находились и куда бы ни перемещались. Если вы не следите за своим облаком, ваши приложения становятся легкой добычей. Человеческий фактор – причина 95 % утечек данных – делает облачные рабочие процессы особенно уязвимыми.
- Не упускайте из виду никаких опасных действий, происходящих между приложениями, пользователями и данными, и сканируйте на наличие вредоносного контента и неправильных настроек, прежде чем злоумышленники смогут ими воспользоваться.
- Оснастите свои команды DLP для защиты конфиденциальных ресурсов и приложений, размещенных в облаке.
5. Следите за своими данными как ястреб (который никогда не моргает)
Все мы знаем, что данные – это ценный ресурс, поэтому отрывать от них взгляд – плохая идея. Вам нужно постоянно видеть, как перемещаются ваши данные, кто к ним получает доступ и не нарушаются ли какие-либо правила.
- Отслеживайте конфиденциальные данные во время передачи и хранения, чтобы быстро выявлять нарушения политик или утечку данных.
- Сохраняйте конфиденциальность данных, чтобы упростить выявление несанкционированного доступа, обеспечить соблюдение политик и сократить количество ложных срабатываний.
6. При мониторинге коммуникаций смотрите на общую картину
Электронная почта по-прежнему остается одним из основных каналов проникновения программ-вымогателей, и достаточно одного пропущенного предупреждающего сигнала, чтобы злоумышленники проникли в систему. Видимость на всех уровнях коммуникаций (даже мельчайших) может предотвратить падение первого домино.
- Сканируйте аномальное поведение пользователей, которое может указывать на фишинг, спуфинг (включая эхо-спуфинг, который обходит аутентификацию) и вредоносные вложения.
- Шифруйте сообщения при передаче, даже если получатели не используют PGP, PDP или S/MIME, с помощью защищенных паролем PDF-файлов или безопасной доставки через веб-портал.
7. Опережайте злоумышленников, прежде чем они доберутся до вас
Злоумышленники постоянно обновляют свои сценарии, чтобы пробить вчерашние защитные механизмы. Будучи в курсе их последних тактик, вы сможете лучше визуализировать всю цепочку атак и пресечь их, прежде чем они перерастут в серьезную угрозу.
- Отслеживайте, как они используют встроенные инструменты для техник LOTL (Living Off the Land) (любимых злоумышленниками во всем мире) с целью уклонения от традиционных методов обнаружения.
- Наблюдайте за шаблонами атак, чтобы предсказывать их следующие шаги, вместо того чтобы гоняться за отдельными предупреждениями.
- Следите за последними и лучшими данными об угрозах, предоставляемыми специалистами по поиску угроз Symantec и Carbon Black.
Symantec и Carbon Black берут на себя самые сложные испытания, чтобы вам не пришлось этого делать
Объединенный портфель продуктов Symantec и Carbon Black прошел испытания в реальных условиях и доказал свою эффективность. Объединенная компания была признана одной из лучших компаний в сфере кибербезопасности в США на 2025 год по версии Newsweek и Statista и предлагает проверенные, испытанные и надежные решения, которые превосходят конкурентов в реальных условиях – там, где это наиболее важно.
Отмеченные наградами решения говорят сами за себя:
- Легендарные решения для защиты конечных точек Symantec и Carbon Black получили высший рейтинг AAA от SE Lab за 100% обнаружение 556 полезных нагрузок программ-вымогателей и полную видимость цепочки атак.
- Symantec DLP с передовыми технологиями обнаружения контента, бесшовной интеграцией и мощными API получил множество наград, в том числе место в категории «Лидеры» в отчете IDC MarketScape за 2025 год по глобальному рынку DLP и звание «Лучший игрок» в отчете Radicati Group «Предотвращение потери данных – рыночный квадрант 2025».
- Отмеченное наградами партнерство с Google позволяет SSE обеспечить пропускную способность, в 100 раз превышающую пропускную способность конкурирующих решений.
Источник: Can You See Ransomware Coming? Run This Vision Check.
