Опытом выявления кибератак и способами защиты от них поделился Алексей Викторович Кузовкин, гендиректор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада». Эксперт назвал главные цели проникновения в информационную систему компании и нарушения ее работы. Это завладение данными и дальнейшее их использование с выгодой, а также специальное уничтожение репутации бренда или организации.
Нужно знать, какие формы могут иметь кибератаки – это позволит их вовремя обнаруживать и пресекать. Злоумышленниками может использоваться захват данных через загрузку вредоносных программ, фишинг или DOS-атаки и другие.
Один из эффективных способов выявления кибератак – наличие системы обнаружения вторжений (IDS – Intrusion Detection System). Она позволяет заметить проникновение хакеров в инфраструктуру и создать оповещение безопасности. Увидеть подозрительную активность в виде DNS-запросов, попыток получения доступа к ограниченным ресурсам, необычных адресов или всплесков трафика помогут инструменты мониторинга сети. Заметить подозрительную активность можно с помощью анализа журналов систем и приложений – в них могут быть зафиксированы сведения об изменениях в системных конфигурациях, неуспешные попытки аутентификации и т.д.
Инструменты аналитики пользовательской активности для изучения модели поведения юзеров в сети и системах для выявления аномалий, а также анализ угроз в виде сбора данных о потенциальных угрозах, процесса обработки и оценки собранных сведений дадут возможность изучить кибератаки и разработать эффективную схему защиты.
Защита от кибератак предполагает использование целой системы шагов. Чтобы компьютеры не подверглись атаке, а данные не были украдены, необходимо поддерживать актуальность ОС, антивирусов и приложений, регулярно обновляя программное обеспечение. Для выявления любых проблемных зон нужно проводить сканирование сети на наличие уязвимостей. Защитить компьютерные системы и сети поможет внедрение систем обнаружения и предотвращения вторжений, использование IPS для мониторинга сети.
На постоянной основе следует использовать алгоритмы Rate Limiter – они создадут хакерам сложности при подборе паролей и проведении DDoS-атаки. Анализ сетевых журналов поможет обнаружить неудачные попытки входа в систему, несанкционированные изменения конфигураций и максимально быстро приступить к устранению угроз после полной проверки сети. Эффективно действует изолирование скомпрометированного участка в момент атаки – используется отключение сетевого кабеля или перестраиваются правила на маршрутизирующем оборудовании.
Эксперт напоминает о необходимости резервного копирования корпоративных данных для их восстановления в случае внедрения в систему программы-вымогателя. Не следует вскрывать непонятные письма и сообщения, а тем более переходить по ссылкам из письма и загружать вложения с неизвестных источников.