ЛАС-ВЕГАС — Компании, которые не относятся к безопасности с должной серьезностью, что подтверждается недостаточной или отсутствующей подготовкой, планированием и учениями на случай кибератаки, как правило, страдают дольше и неоправданно, заявили в четверг на конференции Black Hat руководители отдела анализа угроз, поиска и реагирования Microsoft.
В лучшем случае после атаки специалисты пострадавшей организации знают свои роли и обязанности, сказала Аарти Боркар, вице-президент по работе с клиентами Microsoft по безопасности. «Они знают, что происходит. Они знают свои политики. Они знают, кому звонить посреди ночи и кому разбудить, потому что инциденты не происходят по средам», — сказала она.
По словам Боркара, усилия Microsoft по реагированию на инциденты и восстановлению часто измеряются днями, а не месяцами, если у организаций есть планы и они регулярно оценивают и отрабатывают эти процедуры на случай проблем, которые могут возникнуть в организации.
По словам Эндрю Раппа, старшего директора по исследованиям в области безопасности в Microsoft, только каждая четвертая организация имеет план реагирования на инциденты и отрабатывает его.
По его словам, когда команда реагирования на инциденты Microsoft взаимодействует с клиентом, который уже отработал план реагирования на инцидент, провел настольные учения и проактивную оценку рисков, всё работает как отлаженный механизм. «Это как делить центральную нервную систему с клиентом в неудачный день».
По словам Шеррода ДеГриппо, директора по стратегии анализа угроз в Microsoft, злоумышленники передвигаются быстрее, чем когда-либо прежде, сокращая время ожидания, и это подчеркивает необходимость подготовки служб реагирования на инциденты и организаций.
«Злоумышленники и злоумышленники мыслят графами. Они видят пути, по которым могут перемещаться внутри сети, а все мы, защитники, мыслим списками», — сказала она.
Это создает дисбаланс, который защитники могут преодолеть, приняв образ мышления злоумышленников, заявили на сцене специалисты по безопасности Microsoft.
«Данные — это ключ к успеху», — сказал Рапп. «Важнейшим условием является прозрачность всей сети, ведение журнала всех событий, правильная настройка всех средств защиты и использование всех функций и возможностей ваших продуктов».
Этот совет имеет значение независимо от целей злоумышленников. Хотя Симеон Какпови, старший аналитик по анализу угроз в Microsoft, уделяет много времени изучению группировок с продвинутыми угрозами и их методов, по его словам, именно базовые недостатки в системе контроля безопасности — это то, чем склонны пользоваться все злоумышленники.
«Они будут заниматься социальной инженерией. Если вы не патчите серверы, они этим воспользуются», — сказал Какпови. «Они сначала сделают базовые вещи, а потом уже будут тратить силы на более сложные».
Он добавил, что организациям следует учитывать уязвимости, на которые могут нацелиться злоумышленники, а также изучать и применять информацию из аналитики угроз в своей отрасли. «Обычно определённая группа источников угроз вызывает больше беспокойства, чем другие, поэтому это может дать вам преимущество в определении того, о чём следует беспокоиться в первую очередь».
ДеГриппо подчеркнула важность фундаментальных принципов безопасности, таких как поддержание программного обеспечения в актуальном состоянии и его правильная настройка. «В случае нарушения безопасности отсутствие журналов может стать настоящим кошмаром как для разведки, так и для специалистов по реагированию на инциденты», — сказала она.
«Каждое действие оставляет след, если только не отключено ведение журнала», — добавил ДеГриппо. «Даже если вы страдаете, возможно, боль не так сильна, как могла бы быть»
В лучшем случае после атаки специалисты пострадавшей организации знают свои роли и обязанности, сказала Аарти Боркар, вице-президент по работе с клиентами Microsoft по безопасности. «Они знают, что происходит. Они знают свои политики. Они знают, кому звонить посреди ночи и кому разбудить, потому что инциденты не происходят по средам», — сказала она.
По словам Боркара, усилия Microsoft по реагированию на инциденты и восстановлению часто измеряются днями, а не месяцами, если у организаций есть планы и они регулярно оценивают и отрабатывают эти процедуры на случай проблем, которые могут возникнуть в организации.
По словам Эндрю Раппа, старшего директора по исследованиям в области безопасности в Microsoft, только каждая четвертая организация имеет план реагирования на инциденты и отрабатывает его.
По его словам, когда команда реагирования на инциденты Microsoft взаимодействует с клиентом, который уже отработал план реагирования на инцидент, провел настольные учения и проактивную оценку рисков, всё работает как отлаженный механизм. «Это как делить центральную нервную систему с клиентом в неудачный день».
По словам Шеррода ДеГриппо, директора по стратегии анализа угроз в Microsoft, злоумышленники передвигаются быстрее, чем когда-либо прежде, сокращая время ожидания, и это подчеркивает необходимость подготовки служб реагирования на инциденты и организаций.
«Злоумышленники и злоумышленники мыслят графами. Они видят пути, по которым могут перемещаться внутри сети, а все мы, защитники, мыслим списками», — сказала она.
Это создает дисбаланс, который защитники могут преодолеть, приняв образ мышления злоумышленников, заявили на сцене специалисты по безопасности Microsoft.
«Данные — это ключ к успеху», — сказал Рапп. «Важнейшим условием является прозрачность всей сети, ведение журнала всех событий, правильная настройка всех средств защиты и использование всех функций и возможностей ваших продуктов».
Этот совет имеет значение независимо от целей злоумышленников. Хотя Симеон Какпови, старший аналитик по анализу угроз в Microsoft, уделяет много времени изучению группировок с продвинутыми угрозами и их методов, по его словам, именно базовые недостатки в системе контроля безопасности — это то, чем склонны пользоваться все злоумышленники.
«Они будут заниматься социальной инженерией. Если вы не патчите серверы, они этим воспользуются», — сказал Какпови. «Они сначала сделают базовые вещи, а потом уже будут тратить силы на более сложные».
Он добавил, что организациям следует учитывать уязвимости, на которые могут нацелиться злоумышленники, а также изучать и применять информацию из аналитики угроз в своей отрасли. «Обычно определённая группа источников угроз вызывает больше беспокойства, чем другие, поэтому это может дать вам преимущество в определении того, о чём следует беспокоиться в первую очередь».
ДеГриппо подчеркнула важность фундаментальных принципов безопасности, таких как поддержание программного обеспечения в актуальном состоянии и его правильная настройка. «В случае нарушения безопасности отсутствие журналов может стать настоящим кошмаром как для разведки, так и для специалистов по реагированию на инциденты», — сказала она.
«Каждое действие оставляет след, если только не отключено ведение журнала», — добавил ДеГриппо. «Даже если вы страдаете, возможно, боль не так сильна, как могла бы быть»
