Программное обеспечение

Как нейтрализовать 85% угроз с помощью всего четырех стратегий

Составленный Управлением радиотехнической обороны Австралии список TOP 35 стратегий нейтрализации показывает, что как минимум 85% попыток вторжения могли бы быть нейтрализованы в случае одновременной реализации стратегий, занимающих в списке первые четыре места. Вот эти стратегии: списки разрешенных приложений, обновление приложений, обновление операционных систем и ограничение административных прав. «Лаборатория Касперского» предлагает технологические решения, охватывающие первые три из перечисленных стратегий (т.е. все стратегии технологического характера), а также большинство других стратегий из списка ASD TOP35.

Многие авторитетные организации в технологической сфере уже создали собственные стратегии защиты от целевых атак. Например, компания Gartner выпустила инструкции по противодействию техникам социальной инженерии, предусматривающие, в частности, отслеживание изменяющегося характера угроз через непрерывное образование в области информационной безопасности . В то время как цель 100% безопасности инфраструктуры ИКТ недостижима, существует комплекс эффективных мер, реализация которых каждой организацией позволит значительно снизить риск кибер-вторжений.

Из всех доступных стратегий мы в «Лаборатории Касперского» считаем документ Управления радиотехнической обороны Австралии (ASD) лучшим из созданных государственными организациями общедоступных руководств по успешной борьбе с APT-угрозами. Однако нам не просто нравится этот перечень стратегий – мы хотим добиться как можно более широкого их охвата технологиями «Лаборатории Касперского». Ознакомьтесь, пожалуйста, с приведенным ниже списком. Конечно, следует иметь в виду, что не все технологии имеют какое бы то ни было отношение к защитному ПО:

Как нейтрализовать 85% угроз с помощью всего четырех стратегий

Подготовленный Управлением радиотехнической обороны Австралии список стратегий нейтрализации угроз состоит из 35 пунктов.

Стратегии минимизации угроз в списке ASD можно условно разделить на четыре логических группы по подходу к реализации соответствующих стратегий:

Меры Краткое описание
Административные Обучение, физическая безопасность
Сетевые Эти меры проще реализовать на уровне сетевого аппаратного обеспечения
Системное администрирование ОС содержит все необходимое для реализации этой группы мер
Специализированные защитные решения Может применяться специализированное защитное ПО

Проведя всесторонний детальный анализ локальных атак и угроз, ASD пришло к выводу, что не менее 85 процентов таргетированных кибер-втрожений можно нейтрализовать применением четырех базовых стратегий. Три из этих стратегий связаны с использованием специализированных защитных решений. В состав продуктов «Лаборатории Касперского» входят технологические решения, охватывающие эти три важнейшие стратегии:

  • Применение списков разрешенных приложений позволяет заблокировать выполнение вредоносного ПО и не утвержденных программ
  • Установка исправлений для таких приложений как Java, программы просмотра PDF-файлов, Flash, веб-браузеры и приложения Microsoft Office
  • Исправление уязвимостей в операционной системе при помощи патчей
  • Ограничение прав административного доступа к операционной системе и приложениям исходя из служебных обязанностей каждого пользователя.

Кроме того, более половины пунктов в списке ASD могут быть реализованы с помощью наших специализированных защитных решений. Ниже стратегии из списка ASD (связанные с применением специализированных защитных решений) соотнесены с технологиями «Лаборатории Касперского». Мы выделили стратегии, которые, по мнению ASD, обеспечивают нейтрализацию 85% угроз:

Рейтинг ASD Стратегия нейтрализации, краткое название Технологии «Лаборатории Касперского»
1 Списки разрешенных приложений Динамические списки разрешенных
2 Исправление уязвимостей в приложениях Поиск уязвимостей и управление установкой исправлений
3 Исправление уязвимостей в ОС
5 Применение безопасных настроек пользовательских приложений Веб-Контроль (блокирование скриптов в веб-браузерах), Веб-Антивирус
6 Автоматизированный динамический анализ содержимого электронных писем и веб-страниц Почтовый и Веб-Антивирус, Kaspersky Security для почтовых серверов, Kaspersky Security для интернет-шлюзов, дополнительный функционал контроля над распространением конфиденциальной информации для продуктов Kaspersky Security для почтовых серверов и Kaspersky Security для серверов совместной работы
7 Нейтрализации generic-эксплойтов к уязвимостям в ОС Автоматическая защита от эксплойтов
8 HIDS/HIPS Мониторинг системы, Контроль активности программ
12 Программный сетевой экран прикладного уровня для входящего трафика Сетевой экран
13 Программный сетевой экран прикладного уровня для исходящего трафика Сетевой экран
15 Ведение журнала событий на компьютере Kaspersky Security Center
16 Ведение журнала сетевой активности Kaspersky Security Center
17 Фильтрация содержимого электронных писем Kaspersky Security для почтовых серверов
18 Фильтрация веб-контента Веб-Контроль
19 Списки разрешенных интернет-доменов Веб-Контроль
20 Блокирование электронных писем с поддельными заголовками Анти-Спам
22 Антивирусное ПО с применением эвристических технологий и автоматизированной облачной системы репутационных рейтингов Защита от вредоносного ПО
26 Контроль съемных и портативных носителей Контроль устройств
29 Проверка файлов Microsoft Office на рабочих станциях Защита от вредоносного ПО
30 Антивирусное ПО, основанное на сигнатурных методах обнаружения Защита от вредоносного ПО

Стратегии ASD, которые могут быть эффективно реализованы с помощью линейки продуктов «Лаборатории Касперского».

Более подробную информацию о стратегиях ASD можно найти в документе о стратегиях нейтрализации угроз в энциклопедии Securelist: часть 1, часть 2, часть 3 и часть 4. Мы надеемся, что данная информация будет полезна системным администраторам, директорам по информационным технологиям / информационной безопасности и исследователям, занимающимся защитой от таргетированных кибер-вторжений.

Как нейтрализовать 85% угроз с помощью всего четырех стратегий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике