Сотрудники ИТ-отдела в серьезной компании только что установили важное обновление на все свои корпоративные устройства, чтобы каждый сотрудник мог продолжать пользоваться обновленной версией требуемого программного обеспечения. ИТ-специалисты и руководство компании полностью уверены в этой новой версии программы. В конце концов, почему они должны подозревать что-то неладное? Обновления – это стандартная процедура, а их своевременное применение должно быть безопасным. Более того, во многих случаях они являются важной составляющей информационной безопасности.

Впрочем, что-то застало ИТ-отдел врасплох, и они разослали сотрудникам компании предупреждение: какие-то вредоносные программы сумели преодолеть все барьеры защиты и заразить компьютеры компании. Как это могло случиться? Предварительный анализ указывает на недавно установленное обновление. Расследование инцидента вскрывает тревожный момент: обновление содержало уязвимость, которую никто не заметил, даже сами разработчики данного ПО. Никто, кроме, конечно же, кибер-преступника. И этот преступник теперь достаточно хорошо известен в «темном Интернете»: он является автором новой атаки «нулевого дня».

Окно возможностей

Встретить незащищенную уязвимость и использовать ее для атаки – это мечта для большинства кибер-преступников. Такая возможность не только повысит их авторитет среди сообщества кибер-преступников, но и позволит им извлечь личную выгоду из атаки. Именно поэтому атаки «нулевого дня» так опасны.

Время не на стороне кибер-преступников: их окно возможностей между моментом обнаружения уязвимости и моментом ее закрытия провайдерами информационной безопасности или разработчиками ПО сильно ограничено. Но не все атаки такого типа фиксируются так быстро. Если кибер-преступник достаточно осторожен, то компания может подвергаться постоянной атаке через уязвимость, о которой она не знает. В предыдущих постах мы говорили о рисках, связанных с такими постоянными угрозами повышенной сложности (APT).

Недостаток уровня информационной безопасности для борьбы с неизвестными угрозами

Тот факт, что кибер-преступникам необходимо найти эту небольшую уязвимость и действовать быстро и незаметно, означает, что они работают в условиях, которые имеют достаточно много ограничений. Это приводит некоторые организации к ошибочному выводу о том, что атаки «нулевого дня» не являются очень распространенным явлением. Но за последние несколько лет они стали выполняться намного чаще, а в настоящее время они стали одним из наиболее распространенных типов инцидентов среди зарегистрированных случаев. Исследование, выполненное консалтинговой компанией Ponemon Institute, показывает, что 76% опрошенных компаний, которые подверглись кибер-атаке в 2018 году, заявили, что этот тип атаки был новой атакой или неизвестной атакой «нулевого дня».

Такой высокий процент также подчеркивает еще один аспект, который подтверждается данным исследованием: компании, как правило, готовят свои планы информационной безопасности для борьбы с известными атаками, при этом очень мало внимания удаляют борьбе именно с неизвестными атаками. Это отчасти объясняет тот факт, что, согласно исследованию, 53% компаний выделяют больше средств на защиту своих конечных устройств от известных атак, в то время как 47% тратит больше ресурсов на борьбу с неизвестными атаками.

Защитите свою компанию от атак «нулевого дня»

Осведомленность в компаниях жизненно необходима, если речь идет о предотвращении неизвестных атак. Однако сама природа атак «нулевого дня» делает средства защиты от них более сложными. При столкновении с известными угрозами, бывают случаи, когда вполне достаточно традиционных решений информационной безопасности, которые успешно доказали свои возможности по удалению подобных угроз. Но что компании могут сделать для защиты от вредоносных программ, которые ранее еще не были идентифицированы? Организациям требуется предпринимать ряд мер с учетом следующих трех основных моментов:

  • Правильное ПО: окна возможностей открываются для кибер-преступников каждый раз, когда на компьютерах и ИТ-системах компании устанавливается новое программное обеспечение. Правда, это не означает, что компания не должна использовать те программы, которые ей необходимы для работы. Необходимо следовать политике контроля, которая подразумевает периодические ревизии ПО и удаление тех программ, которые не используются определенное время.
  • Несмотря на риски, лучшим вариантом всегда будет обновление. Как мы уже упоминали, обновления могут содержать новые эксплуатируемые уязвимости. Тем не менее, разработчики пытаются исправлять ошибки и применять новые меры безопасности в каждой версии своих программ. Поэтому всегда стоит поддерживать обновленный статус ПО и использовать их последние версии. Чтобы упростить процесс управления уязвимостями, обновлениями и патчами для операционных систем и приложений, мы предлагаем нашим пользователям использовать модуль Panda Patch Management. Данное решение упрощает реагирование на инциденты безопасности за счет патчинга всех уязвимых компьютеров в реальном времени одним кликом мыши из единой консоли централизованного управления безопасностью.
  • Решения, основанные на поведенческом анализе: Модель безопасности, основанная на сигнатурах, устарела и не является эффективной в борьбе с атаками «нулевого дня». Способ борьбы с этими неизвестными атаками должен быть основан на обнаружении подозрительного поведения.

И вот тут в работу должны вступать самые передовые решения информационной безопасности с опциями расширенной защиты, такие как Adaptive Defense. Решение предлагает полную безопасность конечных устройств и полную защиту от известных вредоносных программ. Но это далеко не все его возможности: решение также классифицирует 100% активных процессов, используя для этого техники машинного обучения (искусственного интеллекта), которые позволяют ему анализировать все подозрительные модели поведения. Таким образом, решение способно повысить возможности обнаружения любого вида неизвестных угроз и атак. Panda Adaptive Defense сочетает в себе технологии EPP и EDR, а также сервисы 100% классификации и Threat Hunting, предоставляя новую модель безопасности, которая сокращает поверхность атаки до абсолютного минимума.