Kaip sustabdyti žmogaus valdomas kibernetines atakas?

Autorius: Tadas Jankauskas Laikas: 2023 m. lapkričio 27 d.

Kaip sako jau kone patarle tapęs posakis, klausti reikėtų ne AR bus įsilaužta į jūsų kompiuterį, o KADA. 

Išpirkos reikalaujančios atakos (angl., Ransomware) yra bene dažniausiai įmones ištinkančios žmogaus valdomos atakos. 2022 m. tokių išpuolių pasaulyje užfiksuota beveik 236,7 mln. Prognozuojama, kad iki 2031 m. metinės išlaidos pasieks 250 mlrd. eurų. Didėjant išpirkos reikalaujančių programų atakų kiekiui ir poveikiui, saugos komandoms tenka pereiti nuo anksčiau rankiniu būdu vykdytų reakcijų prie sudėtingo automatizavimo, kuris padeda efektyviai padidinti gynybos mastelį. 

* Žmogaus valdoma išpirkos reikalaujančios programinės įrangos ataka – tai aktyvios asmeninės kibernetinių nusikaltėlių atakos, kai jie įsiskverbia į organizacijos vietinę arba debesijos IT infrastruktūrą, padidina savo privilegijas ir įdiegia išpirkos reikalaujančią programinę įrangą į svarbiausius duomenims.

Galutinio įrenginio saugumui užtikrinti reikalinga gili apsauga, naudojant kelis apsauginius sluoksnius ir mechanizmus, tokius kaip, pažeidžiamų vietų aptikimas ir taisymas, naujos kartos antivirusinės programos, kurios pajėgios neutralizuoti grėsmes perimetre, automatinis aptikimas ir atsakas atskiro įrenginio lygiu, automatinis atakos nutraukimas organizacijos lygmeniu, kad būtų dar labiau apribota galimybė atakai išplisti. 

Kovojant su išpirkos reikalaujančiomis programomis, saugos komandoms reikia visų įmanomų pranašumų. „Microsoft Defender for Endpoint“ klientai gali automatiškai ankstyvojoje atakų grandinėje ir nenaudodami jokių kitų priemonių nutraukti išpirkos reikalaujančias ir kitas žmogaus valdomas atakas.

Naudodamos „Defender for Endpoint“, organizacijos turi tik prijungti savo įrenginius prie „Defender for Endpoint“ ir pradėti naudotis atakų trikdymo privalumais, todėl šia išplėstinio aptikimo ir reagavimo (XDR) dirbtiniu intelektu paremta galimybe naudotis gali dar daugiau klientų.

Automatinis atakų nutraukimo atsakas naudoja signalą iš visų „Microsoft 365 Defender“ darbo srautų (tapatybių, galutinių įrenginių, el. pašto ir programinės įrangos kaip paslaugos [SaaS] programų), kad užtikrintai nutrauktų sudėtingas atakas. Iš esmės, jei žmogaus valdomos atakos pradžia aptinkama viename įrenginyje, apsaugos sistema tuo pačiu metu sustabdo ataką tame įrenginyje ir užkerta kelią visuose kituose organizacijos įrenginiuose. Priešas neturi kur plėstis.

Ataka sutrikdoma sulaikant įtartinus naudotojus visuose įrenginiuose, kad saugos sistema užpuolikus aplenktų anksčiau, nei jie turės galimybę imtis kenkėjiškų veiksmų, pavyzdžiui, naudoti paskyras, atlikti įgaliojimų vagystę, duomenų išfiltravimą ir nuotolinį šifravimą.

Ši pagal numatytuosius nustatymus įjungta funkcija nustatys, ar įtartinas naudotojas vykdo kokią nors veiklą su kuriuo nors kitu įrenginiu, ir nedelsiant nutrauks visą gaunamą ir siunčiamą ryšį, iš esmės sulaikydama naudotoją. Net jei naudotojas turi aukščiausią leidimo lygį ir paprastai nepatenka į saugos kontrolės akiratį, užpuolikui vis tiek bus ribojama prieiga prie bet kurio organizacijos įrenginio. Ši decentralizuota apsauga padėjo atakų sutrikdymo sistemoms išgelbėti 91 proc. tikslinių įrenginių nuo šifravimo bandymų.

Automatinis atakos sutrikdymas yra galimybė, sustabdanti atakas mašininiu greičiu, naudojant skirtingų domenų signalo koreliaciją į vieną didelio tikslumo incidentą. Kartu su automatizuotomis incidentų ir reagavimo galimybėmis, „Microsoft 365 Defender“ yra vienintelė XDR platforma, apsauganti nuo išpirkos reikalaujančių atakų tiek organizacijos, tiek ir vieno įrenginio lygmenyje. 

Atakų sutrikdymas  apima ne tik išpirkos reikalaujančios programinės įrangos atakas, bet ir kitas labiausiai paplitusias sudėtingas atakas, tokias kaip verslo el. pašto ir „priešininko viduryje“ (angl. An Adversary in the Middle, AitM) atakas, kai ryšį tarp dviejų sistemų ar žmonių perima neleistina šalis. Kiekvienas iš šių scenarijų apima atakos vektorių, pvz., įrenginių, el. pašto, tapatybių ir programų, derinį, todėl saugos komandoms sunku tiksliai nustatyti, iš kur kyla ataka. Daugumai saugos sistemų tiekėjų trūksta didelio tikslumo signalo, kad būtų galima tiksliai nustatyti, ar ataka iš viso įvyksta, jau nekalbant apie galimus jos sutrikdymo veiksmus. Automatinis atakos sutrikdymas išsprendžia šią problemą – sistema užtikrintai aptinka ir sutrikdo atakos šaltinį, suteikdama apsaugos sistemoms laiko reaguoti, kol priešas dar nepridarė žalos. 

Dar svarbiau yra tai, kad atakų nutraukimo veiksmingumas ir aprėptis didėja su kiekvienu į „Microsoft 365 Defender“ integruotu produktu. Nors dauguma išpirkos reikalaujančios programinės įrangos atakų įvyksta įrenginyje, svarbu įdiegti visą saugos paketą, apimantį programas, tapatybes, el. paštą ir bendradarbiavimą, kad būtų galima apsisaugoti nuo tokių paplitusių scenarijų kaip verslo el. pašto pažeidimas, „priešininko viduryje“ atakų ir ateities scenarijų. Tai leidžia organizacijoms gauti naudos ne tik iš trikdžių galimybių, bet ir iš visų gausių funkcijų, susijusių su svarbiausiu saugos darbo krūviu.

Anksčiau aptikti šias grėsmes ankstyvojoje stadijoje saugos komandoms buvo labai sudėtinga, nes priešininkai paprastai savo veiksmus maskuoja, kad susidarytų įspūdis, jog tai įprastas naudotojų elgesys. Ir nors kitos sistemos gali aptikti šiuos atakų metodus, tik „Microsoft 365 Defender“ gali juos automatiškai sutrikdyti visą parą, net ir tada, kai jūsų saugumo komanda gali būti neprisijungusi. Remdamosi „Microsoft“ signalų paplitimu ir išsamia naudotojų elgsenos analize, saugumo komandos dabar turi naują patikimą įrankį, kuris be vargo sustabdo sudėtingų išpirkos reikalaujančių programų atakų vykdytojus.

„Microsoft Defender for Endpoint“ yra svarbus ginklas nuolatinėje kovoje su išpirkos reikalaujančiomis programomis, suteikiantis organizacijoms gelbėjimosi ratą tiek įrenginio, tiek organizacijos lygmeniu. Naudojant didelio tikslumo signalus ir tarpdomenines koreliacijas, automatinis atakų nutraukimas aptinka ir ryžtingai sustabdo grėsmes, neleisdamas kibernetiniams nusikaltėliams plėtoti savo kenkėjiškų planų. Galimybė neutralizuoti atakas mašininiu greičiu kartu su verslo el. pašto užpuolimu paverčia šią technologiją ta, kuri keičia kibernetinio saugumo žaidimo taisykles. Tai stiprus priminimas, kad skaitmeninės gynybos spektras keičiasi, o organizacijos turi išnaudoti visus turimus pranašumus, kad apsaugotų savo turtą ir veiklą.

Smulkaus verslo organizacijoms „Microsoft 365 Business Premium“ licencija yra būdas apsisaugoti naudojant „Defender for Office 365“, „Defender for Business“ ir „Intune“. Tai geriausi apsaugos sprendimai už patrauklią kainą įmonėms, turinčioms iki 300 vartotojų. Didesnėms organizacijoms – „Microsoft 365 E3“ arba skirtingų licencijų deriniai. Jei domitės geriausiais licencijavimo ir apsaugos sprendimais, susisiekite su „Primend“. Mes padėsime įsigyti licencijas, pristatysime sprendimus, įdiegsime saugos sistemas, kad jūsų organizacija būtų apsaugota nuo įvairiausių grėsmių.

Gaukite pasiūlymą

Prenumeruoti naujienlaiškį