05.11.2021

Специалист по расследованию угроз о повышении устойчивости кибербезопасности

Bitdefender > Новости > Специалист по расследованию угроз о повышении устойчивости кибербезопасности

Картина угроз меняется. Преступное ПО – класс вредоносных программ, разработанных специально для автоматизации киберпреступлений. Он становится все более распространенным. Часто предоставляется как услуга или готовый, простой в использовании комплект, который хакеры могут приобрести в Dark Web и использовать для распространения своих атак повсюду. Примеры включают распространение программ-вымогателей как услуги (RaaS) и даже типов сложных постоянных угроз (APT), которые могут оставаться незамеченными в сети организации в течение многих месяцев, незаметно крадя конфиденциальные данные. Эти типы автоматизированных и сложных угроз все чаще используются для атак на критически важную инфраструктуру и наши глобальные цепочки поставок. Фактически, в «Докладе о глобальных рисках 2021 г.», Всемирный экономический форум назвал отказ кибербезопасности четвертым по значимости риском, с которым сегодня сталкивается мир.

Чтобы понять картину угроз и то, как эти инциденты расследуются и реагируют на них, мы поговорили с Кристиной Ватаману, старшим руководителем группы криминалистики и расследований лаборатории Bitdefender Cyber ​​Threat Intelligence Lab.

Расскажите нам о своей роли судебного следователя по кибербезопасности. Что влечет за собой профессия и что вам в ней нравится больше всего?

Кристина:

В моей должности в Bitdefender я работаю с исследователями угроз и инженерами-криминалистами для расследования целевых атак на известных жертв и сложных APT-атак, осуществляемых киберпреступными группами, спонсируемыми государством. Моя команда и я тесно сотрудничаем с правоохранительными органами, предоставляя поддержку и судебно-медицинские доказательства, чтобы помочь им в раскрытии дел. Мы также тесно сотрудничаем с частными компаниями, которые обратились к нам из-за взлома. Мы помогаем расследовать инциденты, предоставляя им ответы о том, что именно произошло, как была проведена атака и какой ущерб был нанесен. Самое главное, мы помогаем им принять меры для предотвращения подобных атак в будущем.

Самый захватывающий аспект моей работы – приходить на работу каждый день, зная, что я помогаю ловить плохих парней – или, по крайней мере, делаю их жизнь намного сложнее. Один из примеров, который приходит на ум, – это угроза Cobalt Strike, которая приобрела известность в последние несколько лет. Cobalt Strike – это законный инструмент безопасности, используемый при тестировании на проникновение. Однако он был заимствован группами киберпреступников и использовался для компрометации тысяч организаций по всему миру, особенно в финансовом секторе. С нами связались несколько финансовых организаций, чтобы помочь им найти признаки взлома и выяснить, произошла ли такая атака в их сетях. Некоторые из них оказались жертвами, и они полагались на наши судебно-медицинские навыки, чтобы определить, какой ущерб был нанесен с точки зрения украденных данных.

Эти типы приступов становятся как более частыми, так и более серьезными. Киберпреступники наносят реальный ущерб по всему миру – критически важной инфраструктуре, системам здравоохранения, цепочкам поставок, финансам и многому другому. Я горжусь работой, которую наша команда делает каждый день, чтобы остановить их и предотвратить будущие атаки.

 

На что вы обращаете внимание при расследовании инцидентов и анализе угроз?

Кристина:

На этот вопрос сложно дать краткий ответ, потому что не существует простого контрольного списка, охватывающего все, на что мы смотрим. Мы подходим к каждому инциденту как к уникальному, исследуя не только индикаторы компрометации и методов работы, но также принимая во внимание уникальные качества организации, чтобы понять, почему они могли стать целью и кем. Мы анализируем их уязвимости и риски, смотрим на следы криминалистической экспертизы, оставленные злоумышленниками, и многое другое, чтобы составить полную картину того, что произошло.

Что наиболее важно, расследования кибербезопасности требуют большого обучения и личного опыта в этой области, чтобы научиться распознавать тонкие детали, которые имеют значение в расследованиях. Каждый член нашей команды проходит обширное обучение, поэтому мы можем гарантировать, что предоставим нашим клиентам правильный ответ – и полный ответ – в конце каждого расследования.

Что для вас означает устойчивость кибербезопасности и как организации могут этого добиться?

Кристина:

Мы наблюдаем растущую конвергенцию криминального ПО и целевых атак. С ростом числа финансируемых государством преступных группировок, производящих программы-вымогатели как услуги, которые используют другие, становится все труднее отличить преступное ПО от целевых атак. Эти тенденции также совпадают с ростом атак на цепочки поставок и критически важную инфраструктуру. В случае успеха эти атаки могут нанести огромный ущерб, как мы видели в атаках Colonial Pipeline и Solar Winds.

Чтобы стать более устойчивыми в киберпространстве, организации должны сделать все возможное, чтобы укрепить свою безопасность и лучше защитить себя. Я рекомендую им работать со сторонними экспертами, такими как провайдеры управляемого обнаружения и реагирования (MDR), пентестеры и другие, чтобы оценить их текущее состояние, свои потребности, их уязвимости и риски, а также определить следующие шаги для укрепления их защиты. Конечно, предотвращение является ключевым моментом, и каждая организация должна стремиться в первую очередь предотвращать нарушения, но иногда нарушения будут происходить, несмотря на все ваши усилия. В этом случае организации должны убедиться, что у них есть подробный план реагирования. Время имеет значение после взлома, и вы можете минимизировать ущерб, если знаете, как быстро реагировать, когда нападение действительно происходит.

Октябрь – месяц осведомленности о кибербезопасности. Что вы хотите, чтобы люди вынесли из этого месяца?

Кристина:

Первое: измените свои пароли и сделайте их надежнее! Мы все слышали этот совет, но он остается верным. Слабые учетные данные и повторное использование учетных данных по-прежнему являются одними из самых больших проблем.

Во-вторых: узнайте о тенденциях в области кибербезопасности и о том, как защитить себя и свои конфиденциальные данные от текущих угроз. Сейчас мы живем в эпоху, когда все наши самые важные активы оцифрованы, а это значит, что мы все можем стать жертвами атаки. Чем больше люди узнают о передовых методах кибербезопасности в своей личной и профессиональной жизни, тем лучше следующее поколение будет защищать свои данные и информацию в Интернете.

 

Новости
24.11.2021
Как защитить дистанционное обучение от киберугроз?
20.11.2021
Что такое RaaS и почему он опасен?
17.11.2021
Будущее контейнерной безопасности для малого и среднего бизнеса