Trace Id is missing
Перейти до основного
Security Insider

Базова кібергігієна запобігає 99% атак

Поділитися
Комп’ютер і телефон на синій поверхні

У сучасну цифрову епоху компанії все більше покладаються на технології та онлайнові системи для ведення свого бізнесу. Тому важливо дотримуватися мінімальних стандартів кібергігієни, щоб захиститися від кіберзагроз, звести до мінімуму ризик і підтримувати працездатність бізнесу.

Дотримання навіть базових принципів кібергігієни допомагає захиститися від 98% атак.1

Графік нормального розподілу кібергігієни взято зі Звіту про цифровий захист Microsoft за 2022 рік

Усі організації мають запровадити хоча б указані нижче стандарти.

  • Вимагати стійку до фішингу багатофакторну автентифікацію (БФА)
  • Застосовувати принципи нульової довіри
  • Використовувати сучасні засоби захисту від зловмисних програм
  • Підтримувати актуальний стан систем
  • Захищати дані

Хочете зменшити кількість атак на ваші облікові записи? Увімкніть БФА. Багатофакторна автентифікація, як випливає з назви, вимагає використовувати принаймні два фактори перевірки. Порушення безпеки кількох факторів автентифікації – непросте завдання для зловмисників, оскільки недостатньо лише знати (або зламати) пароль, щоб отримати доступ до системи. Завдяки ввімкнутій багатофакторній автентифікації можна  запобігти 99,9% атак на облікові записи.2

Значне спрощення багатофакторної автентифікації

Незважаючи на те, що багатофакторна автентифікація, як випливає з назви, вимагає додаткових кроків, вам потрібно спробувати вибрати варіант БФА, який завдає найменших незручностей працівникам (наприклад, використання біометричних даних на пристроях або FIDO2-сумісних компонентів, таких як ключі безпеки Feitan або Yubico).

Багатофакторна автентифікація не повинна перешкоджати роботі.

Використовуйте багатофакторну автентифікацію лише для захисту конфіденційних даних і критично важливих систем. Не потрібно застосовувати її для кожної окремої взаємодії.

БФА не має обтяжувати користувача. Використовуйте політики умовного доступу, які дають змогу активувати двоетапну перевірку відповідно до виявлених ризиків. Також можна використовувати наскрізну автентифікацію та єдиний вхід. У цьому випадку користувачам не потрібно проходити кілька послідовних процедур входу, щоб отримати доступ до другорядних файлів або календарів у корпоративній мережі, якщо на пристроях інстальовано найактуальніші оновлення програмного забезпечення. Користувачам також не доведеться скидати пароль кожні 90 днів, що значно покращує взаємодію.

Поширені фішингові атаки

Для фішингових атак зловмисники використовують методи соціотехніки, щоб обманом змусити користувачів розкрити облікові дані чи конфіденційну інформацію. Нижче наведено поширені фішингові атаки.

Зображення з описом поширених фішингових атак (електронна пошта, вкладення вмісту, маніпуляції з посиланнями, цільовий фішинг і зловмисний посередник).

Щоб дізнатися більше про паролі та ідентичності, перегляньте наведені нижче ресурси корпорації Майкрософт.

Принципи нульової довіри закладено в основу будь-якого плану стійкості, оскільки вони обмежують вплив на організацію.  Модель нульової довіри – це випереджувальний інтегрований підхід до безпеки на всіх рівнях цифрового комплексу, що передбачає явну та постійну перевірку всіх транзакцій, використання принципу найменших привілеїв, та покладається на інтелектуальний аналіз, розширене виявлення загроз і реагування на них у реальному часі.

Упровадження підходу нульової довіри надає такі можливості:
  • підтримка віддаленої та гібридної роботи;
  • запобігання порушенням і зменшення їх шкоди для бізнесу;
  • виявлення й захист делікатних корпоративних даних та ідентичностей;
  • формування довіри до захищеності та програм серед керівників, співробітників, партнерів, зацікавлених осіб і клієнтів.
Нижче перераховано принципи нульової довіри.
  • Активний пошук порушень вимог безпеки  Будьте готові, що зловмисники можуть здійснити атаку (наприклад, на ідентичність, мережу, пристрій, програму, інфраструктуру тощо), і дійте відповідно. Це передбачає постійну перевірку середовища на можливі атаки.
  • Явна перевірка Переконайтеся в належному стані користувачів і пристроїв, перш ніж надавати їм доступ до ресурсів. Захистіть ресурси від керування з боку зловмисників. Для цього явно перевіряйте, чи для всіх рішень, пов’язаних із довірою та безпекою, використовується відповідна доступна інформація й телеметрія.
  • Використання доступу з мінімальними правами Обмежте доступ для ресурсів, які може бути потенційно уражено, використовуючи політики "за необхідності" та "достатній доступ" (JIT/JEA), а також політики на основі ризиків, наприклад адаптивне керування доступом. Надавайте лише права, необхідні для доступу до конкретних ресурсів.

Рівні захисту на основі моделі нульової довіри

Знімок екрана комп’ютера

Іноді надмірна безпека шкодить

Надмірні заходи безпеки (звичайним користувачам такі заходи здаються надмірно суворими) можуть призвести до такого самого результату, як і недостатні заходи безпеки, тобто підвищення рівня ризику.

Надмірно захищені процеси можуть утруднити роботу працівників. Більше того, це може спонукати користувачів знайти креативні обхідні шляхи із застосуванням тіньових ІТ, що дають змогу позбутися від захисних заходів. Наприклад, працівники можуть використовувати власні пристрої, адреси електронної пошти та сховища, а також менш безпечні системи, які піддають бізнес вищому рівню ризику.

Щоб дізнатися більше про нульову довіру, перегляньте наведені нижче ресурси.

Використовуйте засоби розширеного виявлення й реагування, а також захисту від зловмисних програм. Застосовуйте програмне забезпечення, яке відстежує й автоматично блокує атаки, а також надає аналітику операцій із забезпечення захисту.

Відстеження аналітики, яка надходить із систем виявлення загроз, важливе для їх швидкого усунення.

Практичні поради щодо автоматизації та оркестрації безпеки

Засоби виявлення мають виконувати якнайбільше роботи

Виберіть і розгорніть датчики, які автоматизують, корелюють і зв’язують отримані дані, перш ніж надсилати їх аналітикам.

Автоматизація збору оповіщень

В аналітиків операцій із забезпечення захисту має бути все необхідне, щоб класифікувати оповіщення та реагувати на них без необхідності збирати додаткову інформацію (наприклад, надсилати запити до систем, які можуть бути офлайн, або збирати інформацію з додаткових джерел, таких як системи керування ресурсами або мережеві пристрої).

Автоматизація визначення пріоритету оповіщень

Потрібно використовувати аналітику в режимі реального часу, щоб визначати пріоритет подій на основі аналізу кіберзагроз, інформації про ресурси та індикаторів атак. Аналітики та фахівці з реагування на інциденти мають зосереджуватися на найважливіших оповіщеннях.

Автоматизація завдань і процесів

Насамперед зверніть увагу на поширені та повторювані адміністративні процеси, що займають багато часу, і стандартизуйте процедури реагування. Після стандартизації реагування потрібно автоматизувати робочі цикли аналітиків операцій безпеки, повністю усунувши втручання людини, де це можливо. Це дасть аналітикам змогу зосередити зусилля на найважливіших завданнях.

Постійне вдосконалення

Відстежуйте основні показники й налаштовуйте датчики та робочі цикли для внесення поступових змін.

Допомога в запобіганні загрозам, їх виявленні та реагуванні на них

Забезпечте захист від загроз для всіх робочих навантажень за допомогою комплексних засобів запобігання, виявлення та реагування з інтегрованими можливостями розширеного виявлення й реагування (XDR) і керування захистом інформації (SIEM).

Віддалений доступ

Зловмисники часто націлюють свої атаки на рішення віддаленого доступу (RDP, VDI, мережа VPN тощо), щоб проникнути в середовище та виконувати постійні операції для заподіяння шкоди внутрішнім ресурсам.
Щоб не дати зловмисникам проникнути в середовище, потрібно:
  • підтримувати актуальність програмного забезпечення та спецпристроїв;
  • перевіряти користувачів і пристрої за моделлю нульової довіри;
  • налаштувати безпеку для рішень VPN третіх сторін;
  • публікувати веб-програми в локальному середовищі.

Електронна пошта та програми для співпраці

Ще одна поширена тактика проникнення в середовище: передати шкідливий вміст за допомогою електронної пошти або інструментів для обміну файлами, а потім обманом змусити користувачів запустити йог.
Щоб не дати зловмисникам проникнути в середовище, потрібно:
  • упровадити розширену безпеку електронної пошти;
  • увімкнути правила звуження векторів атаки, щоб заблокувати поширені методи атак;
  • сканувати вкладення на наявність загроз на основі макросів.

Кінцеві точки

Кінцеві точки, доступні з Інтернету, є зручним вектором проникнення, оскільки вони надають зловмисникам доступ до ресурсів організації.
Щоб не дати зловмисникам проникнути в середовище, потрібно:
  • блокувати відомі загрози, використовуючи правила звуження векторів атаки, які спрацьовують для певних моделей поведінки програмного забезпечення, наприклад під час запуску виконуваних файлів і сценаріїв, що намагаються завантажити або запустити файли, під час запуску замаскованих або підозрілих сценаріїв, а також виконання дій, які програми зазвичай не ініціюють під час звичайної щоденної роботи;
  • стежити за актуальністю та підтримуваністю програмного забезпечення;
  • ізольовувати, вимикати або списувати ненадійні системи та протоколи;
  • блокувати неочікуваний трафік за допомогою розміщених на хостах брандмауерів і засобів захисту мережі.

Постійна пильність

Використовуйте інтегровані рішення XDR і SIEM, щоб отримувати високоякісні оповіщення та звести до мінімуму обсяг ручної роботи під час реагування.

Підготовка застарілих систем

Зловмисники можуть скористатися застарілими системами, де немає необхідних засобів безпеки (наприклад, антивірусів або рішень для протидії загрозам у кінцевих точках), щоб виконати атаки з використанням зловмисної програми з вимогою викупу або з ексфільтрацією з однієї системи.

Якщо неможливо налаштувати інструменти безпеки для застарілих систем, такі системи потрібно ізолювати фізично (за допомогою брандмауера) або логічно (усунувши паралельне використання тих самих облікових даних з іншими системами).

Не потрібно залишати без уваги прості зловмисні програми

Класичні автоматичні зловмисні програми з вимогою викупу можуть поступатися цілеспрямованим атакам за складністю, але небезпека таких програм, як і раніше, дуже велика.

Стежте за можливим вимкненням засобів безпеки зловмисниками

Стежте, чи в середовищі ввімкнуто засоби захисту. Часто зловмисники вимикають їх під час атак, наприклад видаляють журнали подій (зокрема, журнал подій безпеки та журнали операцій PowerShell) і вимикають інструменти й елементи керування безпеки (пов’язані з деякими групами).

Щоб дізнатися більше про використання сучасних засобів захисту від зловмисних програм, перегляньте наведені нижче ресурси корпорації Майкрософт.

Вразливі й застарілі системи – основна причина, через яку багато організацій стають жертвами атак. Переконайтеся, що всі ваші системи, зокрема мікропрограми, операційна система й програми, актуальні.

Практичні поради
  • Забезпечте стійкість пристрою до кіберзагроз, застосувавши виправлення, змінивши стандартні паролі й порти SSH.
  • Звузьте вектори атаки завдяки видаленню непотрібних підключень до мережі й відкритих портів, блокуванню портів для обмеження віддаленого доступу, відмові в такому доступі та використанню мережі VPN.
  • Використовуйте рішення з підтримкою Інтернету речей (IoT) і операційних технологій (OT) для виявлення загроз у мережі та реагування на них, а також керування захистом інформації й оркестрування та реагування системи безпеки, щоб відстежувати пристрої на наявність аномальної або несанкціонованої поведінки, наприклад обміну даними з невідомими хостами.
  • Сегментуйте мережі, щоб обмежити можливості зловмисників виконувати бокове зміщення й уражати ресурси після вторгнення в систему. Пристрої IoT й мережі OT потрібно ізолювати від корпоративних ІТ-мереж за допомогою брандмауерів.
  • Переконайтеся, що протоколи ПСК не мають прямого підключення до Інтернету
  • Отримайте краще уявлення про пристрої IoT/OT у своїй мережі й визначайте їх пріоритетність з урахуванням ризиків для організації в разі їх ураження.
  • Використовуйте вбудовані засоби сканування, щоб визначати прогалини в системі безпеки, і звертайтеся до постачальників для усунення ризиків, пов’язаних із конкретними пристроями.
  • Підвищуйте безпеку пристроїв IoT/OT, вимагаючи від постачальників упроваджувати передові методи безпечного життєвого циклу розробки рішень.
  • Не передавайте файли, що містять системні визначення, через незахищені канали або працівникам, яким ці файли не потрібні.
  • Якщо уникнути передавання файлів неможливо, обов’язково відстежуйте дії над ними в мережі й забезпечте їм належний захист.
  • Захистіть важливе технічне обладнання за допомогою рішень для протидії загрозам у кінцевих точках.
  • Превентивно реагуйте на інциденти в мережах OT.
  • Розгорніть постійний моніторинг за допомогою таких рішень, як Microsoft Defender для Інтернету речей.
Щоб дізнатися більше, перегляньте наведені нижче ресурси корпорації Майкрософт

Щоб забезпечити належний захист, потрібно знати, які важливі дані у вас є, де вони розташовані, а також чи реалізовані необхідні системи захисту.

Нижче наведено проблеми убезпечення даних.
  • Зниження ризику помилок користувачів і керування цим ризиком.
  • Класифікація користувачів вручну – непрактичне рішення у великому масштабі.
  • Дані мають бути захищені поза мережею.
  • Для забезпечення відповідності вимогам та захисту потрібна всебічна стратегія.
  • Дотримання правил відповідності вимогам, які постійно стають суворішими.
5 принципів підходу глибинного захисту даних
У сучасних гібридних робочих областях потрібно отримувати доступ до даних із різних пристроїв, програм, служб і різних куточків світу. З такою кількістю платформ і точок доступу потрібні надійні механізми захисту від крадіжки та витоку даних. У сучасному середовищі підхід глибинного захисту забезпечує найкращий захист даних. Ця стратегія складається з п’яти компонентів, які можна реалізувати в тому порядку, що найкраще відповідає унікальним потребам вашої організації та застосовним нормативним вимогам.
  • Визначення загальної картини даних
    Перш ніж ви зможете захистити делікатні дані, потрібно дізнатися, де вони розташовані та як до них здійснюється доступ. Для цього потрібно отримати повне уявлення про інфраструктуру даних, зокрема локальні, гібридні та багатохмарні середовища.
  • Захист делікатних даних Потрібно не лише створити повну карту даних, але й захистити дані під час зберігання та передачі. На цьому етапі важливе правильне позначення та класифікація даних: це дасть змогу отримати уявлення про те, як здійснюється доступ до даних, як дані зберігаються та поширюються. Точне відстеження даних допоможе захистити їх від витоків і порушення їхньої безпеки.
  • Керування ризиками Навіть якщо дані належним чином зіставлені та позначені, важливо враховувати контекст користувачів, пов’язаних із даними, і дії, які можуть спричинити інциденти безпеки даних. Це зокрема стосується внутрішніх загроз. Найкращий підхід до усунення внутрішніх ризиків передбачає залучення відповідних людей, процесів, навчання та інструментів.
  • Запобігання втраті даних Пам’ятайте, що несанкціоноване використання даних теж є втратою. Ефективне рішення для захисту від втрати даних має забезпечувати баланс між захистом і продуктивністю. Щоб запобігти таким діям, як неналежне зберігання, збереження або друк делікатних даних, потрібно використовувати належні засоби керування доступом і налаштувати необхідні політики.
  • Керування життєвим циклом даних Методи керування даними змінюють, і бізнес-команди несуть усе більшу відповідальність за власні дані. Тому важливо, щоб організації створювали єдиний підхід, що діятиме в масштабах усього підприємства. Таке випереджувальне керування життєвим циклом дає змогу краще захистити дані та спонукати користувачів відповідальніше ставитися до даних у всіх випадках, де це вигідно для бізнесу.
Щоб дізнатися більше про захист даних, перегляньте наведені нижче ресурси корпорації Майкрософт.

Джерела загрози постійно розвиваються й атаки стають дедалі складнішими, але основна ідея кібербезпеки не змінилася. Дотримання базової кібергігієни (увімкнення БФА, застосування принципів нульової довіри, оновлення систем, використання сучасних засобів захисту від зловмисних програм і захист даних) запобігає 98% атак.

Щоб захиститися від кіберзагроз, звести до мінімуму ризик і забезпечити працездатність організації, важливо дотримуватися мінімальних стандартів кібергігієни.

Пов’язані статті

Збільшення фішингових атак на 61%. Ознайомтесь із сучасними векторами атак.

Щоб справлятися зі складними векторами атак, організації повинні сформувати комплексний підхід до захищеності. У цьому звіті для шести основних векторів атак показано, як правильна аналітика загроз допомагає схилити шальки терезів на бік тих, хто захищається.
Дізнатися більше

Атаки за моделлю "кіберзлочин як послуга" (CaaS) призвели до зростання шахрайства, пов’язаного з корпоративною електронною поштою, на 38%

Порушення безпеки корпоративної електронної пошти набирає популярності серед зловмисників, оскільки вони можуть приховати джерело атак і зробити їх украй руйнівними. Дізнайтеся більше про модель "кіберзлочин як послуга" і те, як захистити свою організацію.
Дізнатися більше

Безпека, орієнтована на хмару: як керівники відділів IT-безпеки усувають вразливості

Керівники відділів IT-безпеки розповідають про зміну пріоритетів у сфері безпеки під час переходу організацій на хмарні моделі та проблеми, пов’язані зі змінами умов роботи всіх цифрових ресурсів.
Дізнатися більше

Підпишіться на Microsoft