Признанный лидер расследований кибератак – компания FireEye первоочередно делает акцент на грамотную реализацию защиты удаленной работы.
Учитывая текущее положение в мире, все бизнесы переходят на удаленную работу. Но все понимают, что “плохие актеры” тут же используют данную ситуацию в своих интересах. Уже сейчас активизировались все известные APT-группировки и судя по аналитическим отчетам Mandiant и iSIGHT – они активно ищут доступные “бреши” в решениях, которые занимаются организацией удаленной работы. Логично и то, что именно в такое время построение надежной защиты возможно с помощью решений тех производителей, которые гибкие к интеграции друг с другом.
Признанный лидер расследований кибератак – компания FireEye первоочередно делает акцент на грамотную реализацию защиты удаленной работы.
В частности на использование:
- VPN
- многофакторную аутентификацию
- защищенные виртуализированные рабочие столы и доставку приложений (например решения компании CITRIX)
- продуманное использование DMZ
- выполнение условий модели Zero Trust
- ограничение ресурсов по ролевой модели
- безопасное управление облачными сервисами
- защиту устройств от зловредной активности
- физическую безопасность
- контроль за эффективностью средств защиты удаленных рабочих мест
- контроль за привилегированными учетными записями
- контроль подключаемых устройств к ресурсам компании
- шифрования устройств.
По векторам атак компания FireEye акцентирует внимание на следующие “бреши”, исходя из текущей организации работы сотрудников:
Компрометация конечной точки.
Сотрудники будут под угрозой фишинговых писем, а так же угрозы заражений при серфинге в Интернете.
“Боковое движение” злоумышленника.
Как только злоумышленник получит доступ к решению для удаленного доступа, будь то VPN или решение с виртуализированным рабочим столом, он, скорее всего, попытается собрать учетные данные и выполнить “боковое заражение”.
Неуправляемый доступ к устройству.
Организации часто проводят ограниченные проверки достоверности для выявления несанкционированных устройств, в том числе систем злоумышленников, подключающихся к решениям удаленного доступа.
“Split” туннелирование.
Чтобы справиться с увеличением числа удаленных сотрудников, организации могут перейти от конфигурации VPN с полным туннелем к разделенному туннелированию (“split”)
Отказ в обслуживании удаленного доступа.
Поскольку целые организации переходят на модель удаленного доступа, воздействие отказа в обслуживании на порталы удаленного доступа значительно повлияют на деятельность компании.
Обход многофакторной аутентификации (MFA).
К счастью, многие организации внедрили MFA, чтобы снизить вероятность атак методом перебора учетных данных. Тем не менее, мы все еще сталкиваемся с пользователями, принимающими несанкционированные push-уведомления.
Компрометация ICS/OT/SCADA/BMS систем (промышленная автоматизация):
Риски связанные с уменьшением контроля на производстве, а также отсутствия специальных систем по защите промышленных сетей. Следующие решения FireEye защитят Вас от перечисленных выше угроз и поспособствуют организации надежной защиты как конечных точек, так и Вашей инфраструктуры:
- FireEye Email Security (FireEye EX/ETP): комплекс по защите почтовой переписки, это комплексная защита не просто почтовой переписки, а и криминалистический анализ вложений, ссылок и других обьектов встречающих в письмах;
- FireEye Network Security and Forensics (FireEye NX): комплексная защита всего сетевого трафика организации (локального, глобального и трафика сетей ICS/OT/SCADA/BMS). Выявление, расследование и блокирование аномального и вредоносного трафика, блокирование “бокового распространения”;
- FireEye Endpoint Security (FireEye HX): комплекс по защите конечных точек. Решение которое не только заменяет собой антивирус, сюда же добавляется глубокий анализ, расследование инцидентов на конечных точках и конечно же блокирование зловредной активности (функционал EDR);
- FireEye VERODIN: аудит состояния средств защиты. Решение которое не только изучит эффективность всех развернутых средств защиты, но к тому же предоставит заключение на адекватность их настроек и корректность расположение в инфраструктуре;
- FireEye HELIX: централизованное управление инцидентами безопасности и реагирование на них (SOAR), позволяет не просто организовать оркестрацию, но и подключить в единый механизм защиты, любое уже развернутое средство защиты, создавая алгоритмы их взаимодействия в удобном плейбуке.
Все эти решения имеют гибкое лицензирование и отлично справляются с задачами по организации защиты в разных средах – локальные офисы, облака, удаленные рабочие места.
