Trace Id is missing

Kiberhigiēnas pamatpasākumi novērš 99% uzbrukumu

Kopīgot
Dators un tālrunis uz zilas virsmas

Mūsdienu digitālajā laikmetā uzņēmumi savā darbībā arvien vairāk izmanto tehnoloģijas un tiešsaistes sistēmas. Tāpēc ir svarīgi ievērot obligātos kiberhigiēnas standartus, lai aizsargātos pret kiberapdraudējumiem, mazinātu risku un nodrošinātu pastāvīgu uzņēmuma darbību.

Pamata drošības uzturēšana joprojām aizsargā pret 98% uzbrukumu.1

Kiberhigiēnas zvanu līknes diagramma no 2022. gada Microsoft digitālās aizsardzības pārskata (MDDR)

Pieci minimālie standarti, kas jāpieņem katrai organizācijai:

  • Prasīt pret pikšķerēšanu noturīgu daudzfaktoru autentifikāciju (MFA)
  • Lietot nulles uzticamības principus
  • Moderna ļaunprogrammatūras novēršana
  • Sistēmu pastāvīga atjaunināšana
  • Datu aizsargāšana

Vēlaties samazināt uzbrukumu skaitu saviem kontiem? Ieslēdziet daudzfaktoru autentifikāciju. Daudzfaktoru autentifikācijai, kā norāda tās nosaukums, ir nepieciešami divi vai vairāki verifikācijas faktori. Neietekmējot vairāk kā vienu autentifikācijas faktoru, uzbrucējiem rodas ievērojams izaicinājums, jo ar paroles zināšanu (vai uzlaušanu) nepietiek, lai piekļūtu sistēmai. Ja daudzfaktoru autentifikācija ir iespējota, varat novērst 99,9% uzbrukumu saviem kontiem.2

Daudz vienkāršāka daudzfaktoru autentifikācija

Daudzfaktoru autentifikācija — lai gan papildu soļi ir daļa no nosaukuma, jums jācenšas izvēlēties daudzfaktoru autentifikācija ar vismazāko noslodzi (piemēram, izmantojot biometriskos datus ierīcēs vai FIDO2 piekāpīgos faktorus, piemēram, Feitan vai Yubico drošības atslēgas) saviem darbiniekiem.

Izvairieties no tā, ka daudzfaktoru autentifikācijas kļūst apgrūtinoša.

Izvēlieties daudzfaktoru autentifikāciju, ja papildu autentifikācija var palīdzēt aizsargāt sensitīvus datus un kritiski svarīgas sistēmas, nevis piemērot to katrai atsevišķai saziņai.

Daudzfaktoru autentifikācijai nav jākļūst par izaicinājumu lietotājam. Izmantojiet nosacītas piekļuves politikas, kas ļauj izraisīt divsoļu pārbaudi, pamatojoties uz riska noteikšanu, kā arī tranzīta autentifikāciju un vienotu pierakstīšanos (SSO). Tādējādi lietotājiem nav vairākas reizes jāpierakstās, lai piekļūtu failu koplietošanai vai kalendāriem uzņēmuma tīklā, kas nav kritiski, ja viņu ierīcēs ir jaunākie programmatūras jauninājumi. Lietotājiem arī nebūs paroles atiestatīšanas reizi 90 dienās, kas ievērojami uzlabos viņu pieredzi.

Bieži sastopami pikšķerēšanas uzbrukumi

Pikšķerēšanas uzbrukumā noziedznieki izmanto sociālās inženierijas taktiku, lai piespiestu lietotājus sniegt piekļuves akreditācijas datus vai izpaust sensitīvu informāciju. Bieži sastopami pikšķerēšanas uzbrukumi, piemēram:

Attēls, kurā aprakstīti izplatītākie pikšķerēšanas uzbrukumi (e-pasta ziņojums, satura injekcija, manipulēšana ar saitēm, mērķēta pikšķerēšana”un pārtveršana)

Nulles uzticamība ir jebkura noturīguma plāna stūrakmens un ierobežo ietekmi uz organizāciju.  Nulles uzticamības modelis ir proaktīva, integrēta pieeja drošībai visos digitālā īpašuma slāņos, kas pilnībā un nepārtraukti pārbauda katru transakciju, nodrošina minimālo privilēģiju piekļuvi un balstās uz informāciju, iepriekšēju atklāšanu un atbildes reakciju uz draudiem reāllaikā.

Ieviešot nulles uzticamības pieeju, ir iespējams:
  • Sniedz atbalstu attālam darbam un hibrīddarbam
  • Palīdzēt novērst vai samazināt pārkāpuma radītos zaudējumus biznesam
  • Identificēt un palīdzēt aizsargāt sensitīvus uzņēmuma datus un identitātes
  • Veidojiet vadības komandas, darbinieku, partneru, ieinteresēto pušu un klientu uzticēšanos savam drošības stāvoklim un programmām
Nulles uzticamības principi:
  • Pieņemšana, ka notiek pārkāpums  Pieņemiet, ka uzbrucēji var veiksmīgi uzbrukt jebkam (identitātei, tīklam, ierīcei, programmai, infrastruktūrai utt.), un attiecīgi plānojiet. Tas nozīmē, ka pastāvīgi ir jāuzrauga, vai nav noticis uzbrukums.
  • Pilnīga pārbaudīšana Nodrošiniet, lai lietotāji un ierīces būtu labā stāvoklī, pirms atļaujat piekļuvi resursiem. Aizsargājiet resursus pret uzbrucēju kontroli, nepārprotami apstiprinot to, ka visos uzticamības un drošības lēmumos tiek izmantota atbilstoša pieejamā informācija un telemetrija.
  • Minimālo privilēģiju piekļuves lietošana Ierobežojiet piekļuvi potenciāli apdraudētiem resursiem, izmantojot tieši laikā un tieši pietiekamu piekļuvi (JIT/JEA) un uz risku balstītu politiku, piemēram, adaptīvo piekļuves kontroli. Atļaujiet tikai tādas atļaujas, kas ir nepieciešamas, lai piekļūtu resursam, un nekam citam.

Nulles uzticamības drošības slāņi

Datora ekrāna ekrānuzņēmums

Pastāv tāds jēdziens kā pārāk liela drošība

Pārāk liela drošība — drošība, kas ikdienas lietotājam šķiet pārāk ierobežojoša,— var novest pie tāda paša rezultāta kā nepietiekama drošība — lielāka riska.

Stingri drošības procesi var apgrūtināt cilvēku darbu. Vēl ļaunāk — tā var iedvesmot cilvēkus rast radošus nelabvēlīgus IT apiešanas veidus, motivējot viņus pilnībā apiet drošību, dažkārt izmantojot savas ierīces, e-pastu un krātuvi, un lietot sistēmas, kas (ironiski) ir mazāk drošas un rada lielāku risku uzņēmumam.

Izmantojiet paplašinātās atklāšanas un reaģēšanas ļaunprogrammatūras novēršanas līdzekļus. Ieviesiet programmatūru, lai noteiktu un automātiski bloķētu uzbrukumus, kā arī sniegtu ieskatus drošības darbībās.

Ieskatu pārraudzība no draudu atklāšanas sistēmām ir būtiski svarīga, lai varētu savlaicīgi reaģēt uz apdraudējumiem.

Drošības automatizācijas un orķestrācijas paraugprakse

Pēc iespējas vairāk darba pārcelšana uz saviem detektoriem

Atlasiet un ievietojiet sensorus, kas automatizē, korelē un savstarpēji sasaista savus konstatējumus, pirms tos nosūta analītiķim.

Automatizētu brīdinājumu kopums

Drošības operāciju analītiķa rīcībā jābūt visam nepieciešamajam, lai šķirotu brīdinājumus un reaģētu uz tiem, nevācot papildu informāciju, piemēram, vaicājot sistēmām, kas var būt vai nebūt bezsaistē, vai vācot informāciju no papildu avotiem, piemēram, resursu pārvaldības sistēmām vai tīkla ierīcēm.

Automatizēta brīdinājumu prioritāšu noteikšana

Jāizmanto reāllaika analīze, lai noteiktu prioritātes notikumiem, pamatojoties uz draudu informācijas plūsmām, informāciju par resursiem un uzbrukuma indikatoriem. Analītiķiem un incidentu atbildētājiem galvenā uzmanība jāpievērš nozīmīgākajiem brīdinājumiem.

Automatizēti uzdevumi un procesi

Vispirms pievērsieties bieži sastopamiem, atkārtotiem un laikietilpīgiem administratīviem procesiem un standartizējiet atbildes reakcijas procedūras. Kad atbildes reakcija ir standartizēta, automatizējiet drošības operāciju analītiķa darbplūsmu, lai, ja iespējams, novērstu jebkādu cilvēka iejaukšanos un viņi varētu pievērsties svarīgākiem uzdevumiem.

Nepārtraukta uzlabošana

Pārraugiet galvenos rādītājus un pielāgojiet sensorus un darbplūsmas, lai panāktu pakāpeniskas izmaiņas.

Palīdzēt novērst, noteikt un reaģēt uz apdraudējumiem

Aizsargājiet pret apdraudējumiem visās darba slodzēs, izmantojot visaptverošas novēršanas, noteikšanas un atbildes reakcijas iespējas, izmantojot integrētas paplašinātās atklāšanas un reaģēšanas (XDR) un drošības informācijas un notikumu pārvaldības (SIEM) iespējas.

Attāla piekļuve

Uzbrucēji bieži izmanto attālās piekļuves risinājumus (RDP, VDI, VPN u. c.), lai iekļūtu vidē un veiktu nepārtrauktas operācijas ar mērķi kaitēt iekšējiem resursiem.
Lai novērstu uzbrucēju darbību, ir nepieciešams:
  • Programmatūras un ierīču atjauninājumu uzturēšana
  • Nulles uzticamības lietotāju un ierīču apstiprināšana
  • Trešo pušu VPN risinājumu drošības konfigurēšana
  • Lokālu tīmekļa lietojumprogrammu publicēšana

E-pasta un sadarbības drošība

Vēl viena izplatīta taktika, kā iekļūt vidē, ir pārsūtīt ļaunprātīgu saturu ar e-pasta vai failu koplietošanas rīku palīdzību un pēc tam pārliecināt lietotājus to palaist.
Lai novērstu uzbrucēju darbību, ir nepieciešams:
  • Uzlabotas e-pasta drošības īstenošana
  • Iespējot uzbrukumu tvēruma samazināšanas filtrus, lai bloķētu izplatītākās uzbrukumu metodes
  • Pielikumu skenēšana, lai atrastu lielus apdraudējumus

Galapunkti

Internetā pieejamie galapunkti ir iecienīts ievades vektors, jo tie nodrošina uzbrucējiem piekļuvi organizācijas resursiem.
Lai novērstu uzbrucēju darbību, ir nepieciešams:
  • Bloķējiet zināmos apdraudējumus, izmantojot uzbrukumu tvēruma samazināšanas noteikumus, kas vērsti pret noteiktu programmatūras uzvedību, piemēram, izpildāmo failu un skriptu palaišanu, kas mēģina lejupielādēt vai palaist failus, aizsegtu vai citādi aizdomīgu skriptu palaišanu vai tādu darbību veikšanu, kuras programmas parasti nedara parastā ikdienas darbā.
  • Uzturēt programmatūru, lai tā būtu atjaunināta un atbalstīta
  • Izolējiet, atspējojiet vai izslēdziet nedrošas sistēmas un protokolus.
  • Negaidītu trafiku bloķēšana, izmantojot viesotāju ugunsmūrus un tīkla aizsardzības līdzekļus

Konstanta modrības uzturēšana

Izmantojiet integrētu paplašināto atklāšanu un reaģēšanu un drošības informācijas un notikumu pārvaldību, lai nodrošinātu augstas kvalitātes brīdinājumus un mazinātu noslodzi un manuālas darbības atbildes reakcijā.

Novecojušas mantotas sistēmas

Vecākas sistēmas, kurās trūkst drošības kontroles, piemēram, antivīrusu un galapunktu atklāšanas un reaģēšanas (EDR) risinājumu, var ļaut uzbrucējiem veikt visu izspiedējprogrammatūras un eksfiltrācijas uzbrukuma ķēdi no vienas sistēmas.

Ja drošības rīkus nav iespējams konfigurēt mantotajai sistēmai, tad sistēma ir jāizolē fiziski (izmantojot ugunsmūri) vai loģiski (novēršot akreditācijas datu pārklāšanos ar citām sistēmām).

Neignorējiet izejmateriālu ļaunprātīgu programmatūru

Klasiskai automatizētai izspiedējprogrammatūrai, iespējams, trūkst tādas pārdomātības kā uzbrukumiem, kas tiek veikti ar plaukstas tastatūru, taču tas nenozīmē, ka tās ir mazāk bīstamas.

Uzmanieties, lai pretinieks neatspējotu drošību

Pārraugiet savu vidi, vai pretinieks nav atspējojis drošību (bieži vien tā ir daļa no uzbrukumu ķēdes), piemēram, notikumu žurnālu dzēšana, jo īpaši drošības notikumu žurnāla un PowerShell darbības žurnālu, un drošības rīku un kontroles atspējošana (saistīta ar dažām grupām).

Sistēmas, kas nav ielāpotas un ir novecojušas, ir galvenais iemesls, kāpēc daudzas organizācijas kļūst par uzbrukuma upuri. Nodrošiniet, lai visas sistēmas būtu atjauninātas, tostarp aparātprogrammatūra, operētājsistēma un programmas.

Paraugprakse
  • Pārliecinieties, vai ierīces ir stabilas, lietojot ielāpus, mainot noklusējuma paroles un noklusējuma SSH portus.
  • Samaziniet uzbrukumu tvērumu, atslēdzot nevajadzīgus interneta savienojumus un atvērtus portus, ierobežojot attālo piekļuvi, bloķējot portus, liedzot attālo piekļuvi un izmantojot VPN pakalpojumus.
  • Izmantojiet lietiskā interneta/operatīvo tehnoloģiju (IoT/OT) tīkla noteikšanas un reaģēšanas (NDR) risinājumu un drošības informācijas un notikumu pārvaldības (SIEM)/drošības orķestrācijas un reaģēšanas (SOAR) risinājumu, lai pārraudzītu, vai ierīcēs nenotiek anormālas vai nesankcionētas darbības, piemēram, saziņa ar nepazīstamiem resursdatoriem.
  • Segmentējiet tīklus, lai pēc sākotnējās uzlaušanas ierobežotu uzbrucēju spēju pārvietoties laterāli un apdraudēt līdzekļus. Lietiskā interneta un operatīvo tehnoloģiju tīkli ir jāizolē no uzņēmuma IT tīkliem, izmantojot ugunsmūrus.
  • Nodrošiniet, lai ICS protokoli netiktu tieši atklāti internetā
  • Iegūstiet dziļāku ieskatu lietiskā interneta/operatīvo tehnoloģiju ierīcēs savā tīklā un nosakiet to prioritātes pēc riska uzņēmumam, ja tās tek apdraudētas.
  • Izmantojiet aparātprogrammatūras skenēšanas rīkus, lai izprastu iespējamās drošības problēmas un sadarbotos ar piegādātājiem, lai noteiktu, kā mazināt riskus augsta riska ierīcēm.
  • Pozitīvi ietekmējiet lietiskā interneta/operatīvo tehnoloģiju ierīču drošību, pieprasot piegādātājiem ieviest drošu izstrādes dzīves cikla paraugpraksi.
  • Failus, kuri satur sistēmas definīcijas, nepārsūtiet pa nedrošiem kanāliem vai darbiniekiem, kas nav kritiski svarīgi.
  • Ja nevar izvairīties no šādu failu pārsūtīšanas, noteikti pārraugiet aktivitāti tīklā un pārliecinieties par resursu drošību.
  • Aizsargājiet tehniskās stacijas, pārraugot ar EDR risinājumiem.
  • Proaktīvi sniedziet atbildi uz incidentiem OT tīkliem.
  • Izvietojiet nepārtrauktu pārraudzību, izmantojot tādus risinājumus kā Microsoft Defender for IoT.

Lai ieviestu atbilstošu aizsardzību, ir svarīgi zināt savus svarīgos datus, kur tie atrodas un vai ir ieviestas pareizās sistēmas.

Datu drošības izaicinājumi, piemēram:
  • Lietotāju kļūdu riska samazināšana un pārvaldība
  • Manuāla lietotāju klasifikācija ir nepraktiska mērogā
  • Dati ir jāaizsargā ārpus tīkla
  • Atbilstībai un drošībai nepieciešama izstrādāta stratēģija
  • Aizvien stingrāku atbilstības prasību ievērošana
5 padziļinātas aizsardzības pieejas pīlāri datu drošībai
Mūsdienu hibrīdajās darbvietās datiem nepieciešams piekļūt no vairākām ierīcēm, programmām un pakalpojumiem no visas pasaules. Tā kā ir tik daudz platformu un piekļuves punktu, ir nepieciešama spēcīga aizsardzība pret datu zādzību un noplūdi. Mūsdienu vidē vislabāko aizsardzību datu drošības stiprināšanai nodrošina padziļinātas aizsardzības pieeja. Šai stratēģijai ir piecas sastāvdaļas, kuras visas var īstenot tādā secībā, kas atbilst jūsu organizācijas unikālajām vajadzībām un iespējamām normatīvajām prasībām.
  • Datu ainavas identificēšana
    Pirms aizsargāt sensitīvos datus, ir jānoskaidro, kur tie atrodas un kā tiem piekļūst. Tam nepieciešama pilnīga redzamība visos jūsu lokālajos, hibrīdajos un vairākmākoņu datos.
  • Sensitīvu datu aizsardzība Līdztekus visaptverošas kartes izveidei ir jāaizsargā dati — gan neaktīvie, gan pārsūtāmie. Tāpēc ir svarīgi precīzi marķēt un klasificēt datus, lai gūtu ieskatus par to, kā tiem piekļūst, kā tie tiek glabāti un kopīgoti. Precīza datu izsekošana palīdzēs novērst to noplūdes un pārkāpumus.
  • Risku pārvaldība Pat tad, ja dati ir atbilstoši kartēti un marķēti, ir jāņem vērā lietotāju konteksts saistībā ar datiem un darbībām, kas var izraisīt iespējamus datu drošības incidentus, tostarp iekšējos apdraudējumus. Labākā pieeja, pievēršoties iekšējam riskam, apvieno pareizos cilvēkus, procesus, apmācību un rīkus.
  • Datu zuduma novēršana Neaizmirstiet par neatļautu datu izmantošanu — arī tas ir zaudējums. Efektīvam datu zudumu aizsardzības risinājumam ir jāsabalansē aizsardzība un produktivitāte. Ir ļoti svarīgi nodrošināt atbilstošas piekļuves kontroles un noteiktas politikas, kas palīdz novērst tādas darbības kā nepareiza sensitīvu datu saglabāšana, glabāšana vai drukāšana.
  • Datu dzīves cikla pārvaldība Tā kā datu pārvaldība virzās uz to, ka uzņēmumu komandas kļūst par savu datu pārvaldniekiem, ir svarīgi, lai organizācijas izveidotu vienotu pieeju visā uzņēmumā. Šāda proaktīva dzīves cikla pārvaldība nodrošina labāku datu drošību un palīdz nodrošināt, ka dati tiek atbildīgi demokratizēti lietotājiem, kur tie var radīt uzņēmējdarbības vērtību.

Lai gan draudu izpildītāji turpina attīstīties un darbojas arvien sarežģītāk, ir jāatkārto vispārzināma kiberdrošības atziņa: Kiberdrošības higiēnas pamatprincipi — daudzfaktoru autentifikācijas aktivizēšana, nulles uzticamības principu piemērošana, pastāvīga datu atjaunināšana, mūsdienīgas ļaunprogrammatūras novēršana un datu aizsardzība — novērš 98% uzbrukumu.

Lai palīdzētu aizsargāties pret kiberapdraudējumiem, mazinātu risku un nodrošinātu pastāvīgu organizācijas dzīvotspēju, ir svarīgi ievērot kiberdrošības higiēnas pamatprincipus.

Saistītie raksti

Par 61% palielinājies pikšķerēšanas uzbrukumu skaits. Iepazīstiet savu moderno uzbrukumu tvērumu.

Lai pārvaldītu arvien sarežģītāku uzbrukumu tvērumu, organizācijām ir jāizveido visaptverošs drošības stāvoklis. Šajā ziņojumā, kurā aplūkotas sešas galvenās uzbrukumu tvēruma jomas, uzzināsit, kā atbilstoša draudu informācija var palīdzēt izmainīt spēles noteikumus par labu aizstāvjiem.
Papildinformācija

Kibernoziegumi kā pakalpojums (CaaS) veicina uzņēmumu e-pasta krāpšanas pieaugumu par 38%

Tagad, kad kibernoziedznieki var slēpt savu uzbrukumu avotu, lai tie būtu vēl ļaunprātīgāki, pieaug biznesa e-pasta apdraudējumi (BEC). Papildinformācija par kibernoziegumiem kā pakalpojumu (CaaS) un to, kā aizsargāt jūsu organizāciju.
Papildinformācija

Drošība, pamatā glabājot informāciju mākonī: Kā vadošie informācijas drošības speciālisti novērš pārklājuma nepilnības

Informācijas drošības speciālisti dalās pieredzē par mainīgajām drošības prioritātēm, organizācijām pārejot uz modeļiem, kur informācija pamatā tiek glabāta mākonī, un problēmām, kas saistītas ar visa digitālā īpašuma pārvietošanu.
Papildinformācija

Sekot Microsoft drošībai