Поскольку все больше организаций хранят конфиденциальные данные вне «облака», мощный инструмент может предотвратить LOTL-атаки и другие угрозы.
В последнее время специалисты Symantec наблюдают значительный рост атак, основанных на технологиях LOTL (Living off the Land), когда злоумышленники осуществляют сложные атаки с помощью легитимных функций или инструментов операционной системы. Почти половина недавних атак с использованием вымогательского ПО была связана с LOTL-методами. Более того, из 10 инструментов, наиболее часто используемых в вымогательских атаках, шесть были легитимным программным обеспечением.
Многие из этих целевых инструментов находятся в собственных центрах обработки данных или самоуправляемых частных облачных средах. Эти инструменты (и эти среды) нуждаются в надежной защите, но большинство поставщиков программного обеспечения для обеспечения безопасности, как правило, сосредоточены на «облачных» решениях. Это связано с тем, что 60% наиболее важных корпоративных данных в мире хранятся в «облаке».
Возвращение данных из облака
Похоже, ситуация меняется. Аналитики отмечают, что организации возвращают свои данные из облачных сред в локальные. Исследование IDC показало, что 80% организаций переносят рабочие процессы с облачных платформ в локальные центры обработки данных и собственные частные облака. Причины хранения данных ближе к дому следующие:
- Сокращение расходов. Хотя экономия затрат является основным первоначальным фактором перехода на облачные технологии, некоторые организации (особенно с постоянными и предсказуемыми рабочими нагрузками) приходят к выводу, что возвращение данных и сервисов в локальные среды может со временем сэкономить им деньги.
- Соответствие нормативным требованиям. Организации, работающие в отраслях с высоким уровнем регулирования (включая здравоохранение и финансовые услуги), а также те, которые обрабатывают и хранят конфиденциальные данные клиентов, просто не могут перенести большую часть своих данных в облако.
- Контроль. Принятие мер по обеспечению более тщательного и надежного контроля над данными может снизить бизнес-риски. В то же время быстро меняющиеся нормативные акты, особенно для публичных компаний, требуют, чтобы организации демонстрировали, что они имеют полную видимость и контроль над своей средой.
- Настройка. Некоторым организациям требуется больше возможностей для настройки, чтобы приспособиться к сложным или очень специфическим ИТ-средам.
- Устаревшие системы. Некоторые устаревшие системы просто не предназначены для переноса в облако, и обеспечение защиты этих активов имеет жизненно важное значение.
Не помогает и то, что облачные платформы все чаще подвергаются атакам со стороны изощренных APT и групп угроз, спонсируемых национальными государствами. В некоторых случаях репатриация данных воспринимается как безопасное убежище по сравнению с публичными облачными платформами.
Этим организациям нужна киберзащита, которая развивается вместе с быстро развивающимися угрозами, направленными на них. К счастью, теперь доступна уникальная эффективная защита для локальных сред.
Adaptive Protection: Теперь LOTL-атаки предотвращаются повсеместно
Одним из способов предотвращения LOTL-атак и других угроз является проактивное блокирование несанкционированного и аномального использования системных функций и инструментов – использования, которое выходит за рамки стандартных способов применения этих инструментов в организации. Adaptive Protection, ранее доступная только для Symantec Endpoint Security, теперь доступна для Symantec Endpoint Protection Manager, платформы управления, которая дает командам безопасности возможность администрировать защиту конечных точек для локальных настольных и мобильных операционных систем и клиентов, обеспечивая правильную настройку и управление политиками безопасности.
Добавив Adaptive Protection в Symantec Endpoint Protection Manager, администраторы могут создать индивидуальную политику, которая разрешает поведение, часто встречающееся в их организации, и блокирует все остальные, эффективно предотвращая несанкционированное использование легитимного программного обеспечения и, в свою очередь, останавливая LOTL-атаки. Внедряя эту мощную и эффективную защиту в локальные среды, Symantec распространяет защиту от атак LOTL на все звенья ИТ-стека.
Вот как Symantec это делает
Adaptive Protection начинается с наблюдения за тем, как организация или рабочая группа обычно использует инструменты. Период наблюдения может длиться 90, 180 или 365 дней, после чего администратор анализирует эти действия и определяет, какие из них следует разрешить, а какие заблокировать. Действия, которые никогда не наблюдались при обычном использовании, можно смело блокировать без ущерба для производительности. Команды безопасности могут блокировать более 450 отдельных действий, создавая таким образом среду, в которой необычное использование легитимного программного обеспечения – суть атак LOTL – автоматически блокируется. Набор разрешенных действий представляет собой политику, адаптированную для данной организации. Любое действие, выходящее за рамки разрешенного поведения, просто не допускается к выполнению.
Выявляя и блокируя аномальное (и потенциально вредоносное) поведение, Adaptive Protection сокращает площадь атаки на защищаемую организацию.
И самое главное – она работает. Недавняя серия независимых реальных тестов показала, что Adaptive Protection блокирует LOTL-атаки быстрее, чем традиционные средства безопасности.
С помощью Symantec Endpoint Protection Manager администраторы могут эффективно организовывать защиту локальных сред. А теперь, с добавлением Adaptive Protection, эта мощная платформа управления обеспечивает еще более надежную защиту от все более популярной и потенциально разрушительной техники атак.
Источник: Extending Adaptive Protection to On-Premise Environments
