Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Bazinė kibernetinė higiena padeda išvengti 99 % atakų

Kompiuteris ir telefonas ant mėlyno paviršiaus

Šiuolaikiniame skaitmeniniame amžiuje įmonės vis labiau pasikliauja technologijomis ir internetinėmis sistemomis, kad galėtų vykdyti savo veiklą. Todėl norint apsisaugoti nuo kibernetinių grėsmių, sumažinti riziką ir užtikrinti nuolatinį verslo gyvybingumą, būtina laikytis minimalių kibernetinės higienos standartų.

Bazinė saugos higiena vis dar apsaugo nuo 98 % atakų.1

Kibernetinės higienos kreivės grafikas, paimtas iš 2022 m. „Microsoft“ skaitmeninės gynybos ataskaitos (MDDR)

Minimalūs standartai, kuriuos turėtų taikyti kiekviena organizacija:

  • Reikalaukite kelių dalių autentifikavimo (MFA), atsparaus sukčiavimui
  • Taikykite nulinio pasitikėjimo principus
  • Naudokite šiuolaikišką apsaugą nuo kenkėjiškų programų
  • Nuolat atnaujinkite sistemas
  • Apsaugokite duomenis

Norite sumažinti atakų prieš savo paskyras skaičių? Įgalinkite MFA. Kelių dalių autentifikavimui, kaip galima spręsti iš pavadinimo, būtinos dvi ar daugiau patvirtinimo dalių. Daugiau nei vienos autentifikavimo dalies pažeidimas yra didelis iššūkis įsilaužėliams, nes norint gauti prieigą prie sistemos neužtenka žinoti (arba nulaužti) slaptažodį. Įgalinę MFA galite užkirsti kelią 99,9 % atakų prieš savo paskyras.2

MFA – daug paprasčiau

Kelių dalių autentifikavimas: nors papildomi veiksmai yra pavadinimo dalis, turėtumėte stengtis pasirinkti MFA parinktį, kuri mažiausiai apsunkintų (pvz., naudoti biometrinius duomenis įrenginiuose arba su FIDO2 suderinamus veiksnius, pvz., „Feitan“ arba „Yubico“ saugos raktus) jūsų darbuotojus.

Venkite apsunkinti MFA.

MFA rinkitės tada, kai papildomas autentifikavimas gali padėti apsaugoti slaptus duomenis ir svarbias sistemas, užuot jį taikę kiekvienai sąveikai.

MFA neturi apsunkinti galutinių vartotojų. Naudokite sąlyginės prieigos strategijas, kurios leidžia inicijuoti patvirtinimą dviem veiksmais pagal aptiktą riziką, taip pat pereinamąjį autentifikavimą ir bendrąją autentifikaciją (SSO). Tokiu būdu galutiniams vartotojams nereikia patirti kelių prisijungimo sekų, kad galėtų pasiekti ne tokias svarbias failų bendrinimo vietas ar kalendorius įmonės tinkle, kai jų įrenginiuose įdiegti naujausi programinės įrangos naujinimai. Vartotojams taip pat nereikės kas 90 dienų iš naujo nustatyti slaptažodžio, o tai žymiai pagerins jų patirtį.

Įprastos sukčiavimo apsimetant atakos

Vykdydami sukčiavimo apsimetant atakas nusikaltėliai taiko socialinės inžinerijos taktikas, kad apgautų vartotojus ir priverstų juos pateikti prieigos duomenis arba atskleisti slaptą informaciją. Įprastos sukčiavimo apsimetant atakos:

Atvaizdas, kuriame aprašomos dažniausiai pasitaikančios sukčiavimo atakos (el. pašto, turinio injekcijos, manipuliavimo nuorodomis, tikslinio sukčiavimo apsimetant ir tarpininko)

Nulinis pasitikėjimas – bet kurio atsparumo plano, apribojančio poveikį organizacijai, pamatas.  Nulinio pasitikėjimo  modelis – tai aktyvus, integruotas požiūris į saugumą visuose skaitmeninio turto sluoksniuose, pagal kurį aiškiai ir nuolat tikrinama kiekviena operacija, užtikrinama mažiausiai privilegijuota prieiga ir remiamasi žvalgybos duomenimis, išankstiniu aptikimu bei reagavimu į grėsmes realiuoju laiku.

Taikant nulinio pasitikėjimo principą, galima:
  • Palaikyti nuotolinį ir hibridinį darbą
  • Padėti užkirsti kelią pažeidimo žalai verslui arba ją sumažinti
  • Nustatyti ir padėti apsaugoti slaptus verslo duomenis ir tapatybes
  • Stiprinkite vadovų komandos, darbuotojų, partnerių, partnerių, suinteresuotųjų šalių ir klientų pasitikėjimą savo saugos būsena ir programomis.
Nulinio pasitikėjimo principai:
  • Pasiruoškite galimiems pažeidimams  Darykite prielaidą, kad įsilaužėliai gali sėkmingai atakuoti bet ką (tapatybę, tinklą, įrenginį, programą, infrastruktūrą ir t. t.), ir atitinkamai planuokite. Tai reiškia, kad aplinka turi būti nuolat stebima dėl galimų atakų.
  • Nuodugniai tikrinkite Prieš suteikdami prieigą prie išteklių, įsitikinkite, ar vartotojų ir įrenginių būsena yra tinkama. Apsaugokite turtą nuo įsilaužėlių kontrolės aiškiai patvirtindami, kad visuose pasitikėjimo ir saugumo sprendimuose naudojama atitinkama turima informacija ir telemetrija.
  • Naudokite mažiausių teisių prieigą Apribokite galimai pažeisto turto prieinamumą, taikydami „reikiamu laiku“ ir „tik tiek, kiek reikia“ (JIT/JEA) prieigą bei rizika pagrįstas strategijas, pvz., adaptyviąją prieigos kontrolę. Leiskite tik tas teises, kurių reikia norint pasiekti išteklių, ir ne daugiau.

Nulinio pasitikėjimo saugos sluoksniai

Kompiuterio ekrano nuotrauka

Yra toks dalykas kaip per daug saugumo

Per didelis saugumas, t. y. saugumas, kuris paprastam naudotojui atrodo pernelyg ribojantis, gali nulemti tą patį rezultatą kaip ir nepakankamas saugumas – didesnę riziką.

Griežti saugumo procesai gali trukdyti žmonėms atlikti savo darbą. Dar blogiau, jie gali paskatinti žmones ieškoti kūrybiškų šešėlinio IT stiliaus apėjimo būdų, motyvuoti juos visiškai apeiti saugą – kartais naudojant savo įrenginius, el. paštą ir saugyklas – ir naudotis sistemomis, kurios (ironiška) yra mažiau saugios ir kelia didesnę riziką verslui.

Naudokite išplėstinio aptikimo ir reagavimo apsaugą nuo kenkėjiškų programų. Įdiekite programinę įrangą, kad aptiktumėte ir automatiškai blokuotumėte atakas ir gautumėte įžvalgų apie saugos operacijas.

Grėsmių aptikimo sistemų įžvalgų stebėjimas yra labai svarbus, kad būtų galima laiku reaguoti į grėsmes.

Saugos automatizavimo ir koordinavimo geroji praktika

Kuo daugiau darbo perduokite savo aptikimo priemonėms

Pasirinkite ir įdiekite jutiklius, kurie automatizuoja, koreliuoja ir susieja savo išvadas prieš siųsdami jas analitikui.

Automatizuokite įspėjimų rinkimą

Saugos operacijų analitikas turėtų turėti viską, ko jam reikia, kad galėtų ištirti perspėjimą ir į jį reaguoti, neatlikdamas jokių papildomų informacijos rinkimo veiksmų, pavyzdžiui, nesikreipdamas į sistemas, kurios gali būti arba nebūti neprisijungusios, arba nerinkdamas informacijos iš papildomų šaltinių, pavyzdžiui, turto valdymo sistemų ar tinklo įrenginių.

Automatizuokite įspėjimų prioritetų nustatymą

Realiojo laiko analizė turėtų būti naudojama siekiant nustatyti įvykių prioritetus pagal grėsmių žvalgybos duomenis, informaciją apie turtą ir atakų rodiklius. Analitikai ir reaguojantys į incidentus turėtų sutelkti dėmesį į didžiausio pavojingumo perspėjimus.

Automatizuokite užduotis ir procesus

Pirmiausia atkreipkite dėmesį į įprastus, pasikartojančius ir daug laiko reikalaujančius administracinius procesus ir standartizuokite reagavimo procedūras. Kai reagavimas bus standartizuotas, automatizuokite saugos operacijų analitikų darbo eigą, kad, jei įmanoma, būtų pašalintas bet koks žmogaus įsikišimas ir jie galėtų sutelkti dėmesį į svarbesnes užduotis.

Nuolatinis tobulinimas

Stebėkite pagrindinius rodiklius ir koreguokite jutiklius bei darbo eigą, kad užtikrintumėte laipsniškus pokyčius.

Padėti užkirsti kelią grėsmėms, jas aptikti ir į jas reaguoti

Apsisaugokite nuo grėsmių visuose darbo krūviuose, naudodami išsamias prevencijos, aptikimo ir reagavimo galimybes su integruotomis išplėstinio aptikimo ir reagavimo (XDR) bei saugos informacijos ir įvykių valdymo (SIEM) galimybėmis.

Nuotolinė prieiga

Įsilaužėliai dažnai pasitelkia nuotolinės prieigos sprendimus (RDP, VDI, VPN ir t. t.), kad patektų į aplinką ir vykdytų tęstines operacijas, kuriomis siekiama pakenkti vidiniams ištekliams.
Kad įsilaužėliai negalėtų patekti į vidų, turite:
  • Prižiūrėti programinės įrangos ir prietaisų atnaujinimus
  • Įgyvendinti nulinio pasitikėjimo vartotojų ir įrenginių patvirtinimą
  • Konfigūruoti saugą trečiosios šalies VPN sprendimams
  • Publikuoti vietines žiniatinklio programas

El. pašto ir bendradarbiavimo programinė įranga

Kita įprasta taktika, kai į aplinką patenka kenkėjiškas turinys, yra el. paštu arba failų bendrinimo priemonėmis persiųsti kenkėjišką turinį ir įtikinti vartotojus jį paleisti.
Kad įsilaužėliai negalėtų patekti į vidų, turite:
  • Įgyvendinkite pažangią el. pašto saugą
  • Įgalinkite atakos pažeidžiamos srities mažinimo taisykles, kad blokuotumėte įprastus atakų būdus
  • Nuskaitykite priedus, ar nėra makrokomandomis pagrįstų grėsmių

Galiniai punktai

Internete veikiantys galiniai punktai yra mėgstamas patekimo į sistemą vektorius, nes jie suteikia įsilaužėliams prieigą prie organizacijos turto.
Kad įsilaužėliai negalėtų patekti į vidų, turite:
  • Blokuokite žinomas grėsmes naudodami atakos pažeidžiamos srities mažinimo taisykles, kurios nukreiptos į tam tikrą programinės įrangos elgesį, pavyzdžiui, vykdomųjų failų ir scenarijų, kuriais bandoma atsisiųsti ar paleisti failus, paleidimą, užšifruotų ar kitokių įtartinų scenarijų paleidimą arba elgesį, kurio programos paprastai neinicijuoja įprasto kasdienio darbo metu.
  • Prižiūrėkite savo programinę įrangą, kad ji būtų atnaujinta ir palaikoma
  • Izoliuokite, išjunkite arba nustokite naudoti nesaugias sistemas ir protokolus
  • Blokuokite netikėtą srautą naudodami kompiuterio užkardas ir tinklo apsaugos priemones

Išlaikykite nuolatinį budrumą

Naudokite integruotus XDR ir SIEM, kad gautumėte aukštos kokybės įspėjimus ir sumažintumėte pastangų kiekį bei rankinius veiksmus reaguojant.

Sustiprinkite senas sistemas

Senesnės sistemos, kuriose nėra tokių saugos kontrolės priemonių kaip antivirusinė programa ir atakų prieš galinius punktus aptikimo ir reagavimo (EDR) sprendimai, gali leisti įsilaužėliams iš vienos sistemos įvykdyti visą išpirkos reikalaujančios programos ir eksfiltracijos atakos grandinę.

Jei neįmanoma sukonfigūruoti saugumo priemonių senojoje sistemoje, turite izoliuoti sistemą fiziškai (naudojant užkardą) arba logiškai (pašalindami prisijungimo informacijos dubliavimąsi su kitomis sistemomis).

Neignoruokite plataus vartojimo kenkėjiškų programų

Klasikinės automatizuotos išpirkos reikalaujančios programos gal ir nėra tokios sudėtingos kaip rankomis ir klaviatūra vykdomos atakos, tačiau tai nereiškia, kad jos mažiau pavojingos.

Saugokitės, kad priešininkas neišjungtų saugos

Stebėkite aplinką, kad priešininkas neišjungtų saugos (dažnai tai būna atakos grandinės dalis), pavyzdžiui, ar neišvalomi įvykių žurnalai, ypač saugos įvykių žurnalas ir „PowerShell“ operacijų žurnalai, ar neišjungiami saugos įrankiai ir kontrolės priemonės (susijusios su kai kuriomis grupėmis).

Neatnaujintos ir pasenusios sistemos yra pagrindinė priežastis, kodėl daugelis organizacijų tampa atakų aukomis. Užtikrinkite, kad visos sistemos būtų nuolat atnaujinamos, įskaitant programinę-aparatinę įrangą, operacinę sistemą ir programas.

Geriausia praktika
  • Užtikrinkite, kad įrenginiai būtų patikimi įdiegdami pataisas, pakeisdami numatytuosius slaptažodžius ir numatytuosius SSH prievadus.
  • Sumažinkite atakos pažeidžiamą sritį pašalindami nereikalingus interneto jungtis ir atvirus prievadus, apribodami nuotolinę prieigą blokuodami prievadus, nesuteikdami nuotolinės prieigos ir naudodami VPN tarnybas.
  • Naudokite internetu sąveikaujančių įrenginių ir operacinių technologijų (IoT / OT) paisantį tinklo aptikimo ir atsako (NDR) sprendimą ir saugos informacijos bei įvykių valdymo (SIEM) / saugos sustygavimo ir reagavimo (SOAR) sprendimą, kad galėtumėte stebėti įrenginius, ar nėra neįprasto arba neteisėto elgesio, pvz., ryšio su nepažįstamais pagrindiniais kompiuteriais.
  • Segmentuokite tinklus, kad apribotumėte įsilaužėlių galimybę judėti horizontaliai ir pažeisti išteklių saugą įvykdžius pradinį įsilaužimą. IoT įrenginiai ir OT tinklai turėtų būti atskirti nuo įmonės IT tinklų naudojant užkardas.
  • Įsitikinkite, kad ICS protokolai nėra tiesiogiai matomi internete.
  • Užtikrinkite geresnį jūsų tinkle esančių IoT / OT įrenginių matomumą ir nustatykite jų prioritetus pagal jų įmonei keliamą riziką, jei jų sauga būtų pažeista.
  • Naudokite programinės-aparatinės įrangos nuskaitymo įrankius, kad suprastumėte galimas silpnas saugos vietas, ir bendradarbiaukite su tiekėjais, kad nustatytumėte, kaip sumažinti didelės rizikos įrenginių riziką.
  • Darykite teigiamą įtaką IoT / OT įrenginių saugumui, reikalaudami, kad jūsų tiekėjai pradėtų taikyti saugaus kūrimo ciklo geriausias praktikas.
  • Venkite perduoti failus, kuriuose yra sistemos aprašų, nesaugiais kanalais arba ne pirmo būtinumo darbuotojams.
  • Kai tokių failų perdavimas yra neišvengiamas, būtinai stebėkite veiklą tinkle ir įsitikinkite, kad ištekliai yra saugūs.
  • Apsaugokite inžinerines stotis stebėjimui naudodami EDR sprendimus.
  • Aktyviai vykdykite reagavimą į incidentus OT tinkluose.
  • Vykdykite nuolatinį stebėjimą naudodami tokius sprendimus kaip „Microsoft Defender for IoT“.

Norint įgyvendinti tinkamą apsaugą, labai svarbu žinoti svarbius duomenis, kur jie yra ir ar įdiegtos tinkamos sistemos.

Duomenų saugos iššūkiai:
  • Vartotojų klaidų rizikos mažinimas ir valdymas
  • Rankinis naudotojų klasifikavimas yra nepraktiškas dideliu mastu
  • Duomenys turi būti apsaugoti už tinklo ribų
  • Atitikčiai ir saugai užtikrinti reikia išsamios strategijos
  • Vis griežtesnių atitikties reikalavimų laikymasis
5 giluminės gynybos požiūrio į duomenų saugumą atramos
Šiuolaikinėse hibridinėse darbovietėse duomenis reikia pasiekti iš įvairių įrenginių, programų ir paslaugų iš viso pasaulio. Esant tiek daug platformų ir prieigos taškų, turite turėti patikimą apsaugą nuo duomenų vagystės ir nutekėjimo. Šiuolaikinėje aplinkoje duomenų saugai sustiprinti geriausia apsauga yra giluminės gynybos metodas. Šią strategiją sudaro penki komponentai, kurie gali būti įgyvendinami bet kokia tvarka, atitinkančia unikalius jūsų organizacijos poreikius ir galimus teisės aktų reikalavimus.
  • Nustatykite duomenų aplinką
    Kad galėtumėte apsaugoti savo slaptus duomenis, turite išsiaiškinti, kur jie saugomi ir kaip jie pasiekiami. Tam reikia, kad būtų visiškai matomas visas jūsų duomenų masyvas, nesvarbu, ar jis būtų vietinis, hibridinis, ar kelių debesų.
  • Apsaugokite slaptus duomenis Kartu su holistinio žemėlapio kūrimu turite apsaugoti savo duomenis – tiek ramybės būsenoje, tiek juos perduodant. Todėl reikia tiksliai žymėti ir klasifikuoti duomenis, kad galėtumėte sužinoti, kaip jie pasiekiami, saugomi ir bendrinami. Tikslus duomenų sekimas padės išvengti jų nutekėjimo ir pažeidimo.
  • Valdykite riziką Net jei duomenys yra tinkamai susieti ir pažymėti, reikia atsižvelgti į vartotojų kontekstą, susijusį su duomenimis ir veikla, dėl kurio gali kilti galimų duomenų saugumo incidentų, įskaitant vidines grėsmes. Geriausias požiūris į vidinės rizikos šalinimą apima tinkamus žmones, procesus, mokymą ir įrankius.
  • Išvenkite duomenų praradimo Nepamirškite apie neteisėtą duomenų naudojimą – tai taip pat nuostolis. Efektyvus apsaugos nuo duomenų praradimo sprendimas turi derinti apsaugą su produktyvumu. Labai svarbu užtikrinti, kad būtų įdiegtos tinkamos prieigos kontrolės priemonės ir nustatytos strategijos, padedančios užkirsti kelią tokiems veiksmams kaip netinkamas slaptų duomenų išsaugojimas, saugojimas ar spausdinimas.
  • Valdykite duomenų gyvavimo ciklą Duomenų valdymui pereinant prie to, kad verslo komandos tampa savo duomenų valdytojomis, svarbu, kad organizacijos sukurtų vieningą požiūrį visoje įmonėje. Toks aktyvus gyvavimo ciklo valdymas nulemia geresnį duomenų saugumą ir padeda užtikrinti, kad duomenys būtų atsakingai demokratizuojami vartotojams ir galėtų kurti verslo vertę.

Nors grėsmių sukėlėjai nuolat tobulėja ir jų atakos tampa vis sudėtingesnės, reikia pakartoti vieną kibernetinio saugumo tiesą: Bazinė kibernetinio saugumo higiena – MFA įgalinimas, nulinio pasitikėjimo principų taikymas, nuolatinis atnaujinimas, šiuolaikiškų antivirusinių programų naudojimas ir duomenų apsauga – padeda išvengti 98 proc. atakų.

Norint apsisaugoti nuo kibernetinių grėsmių, sumažinti riziką ir užtikrinti nuolatinį organizacijos gyvybingumą, būtina laikytis minimalių kibernetinio saugumo higienos standartų.

Susiję straipsniai

61% sukčiavimo apsimetant atakų padidėjimas. Susipažinkite su modernia atakos pažeidžiama sritimi.

Norėdamos valdyti vis sudėtingesnę atakos pažeidžiamą sritį, organizacijos turi užtikrinti visapusišką saugą. Šioje ataskaitoje, kurioje pateikiamos šešios pagrindinės atakų pažeidžiamos sritys, sužinosite, kaip tinkama grėsmių analizė gali padėti pakreipti žaidimo sąlygas gynėjų naudai.

Kibernetiniai nusikaltimai kaip paslauga (CaaS) lemia 38 % išaugusį sukčiavimo verslo el. pašte mastą

Pastaruoju metu verslo el. pašto pažeidimų (BEC) daugėja, nes kibernetiniai nusikaltėliai gali paslėpti savo atakų šaltinį ir elgtis dar įžūliau. Sužinokite apie CaaS ir kaip geriau apsaugoti savo organizaciją.

Į debesį orientuota sauga: Kaip pirmaujančios CISO šalina aprėpties spragas

CISO dalijasi informacija apie besikeičiančius saugumo prioritetus jų organizacijoms pereinant prie į debesį orientuotų modelių ir apie iššūkius, susijusius su viso skaitmeninio turto įtraukimu į šį procesą.

Stebėkite „Microsoft“ saugą