- MVĮ yra pagrindiniai išpirkos reikalaujančių programų, sukčiavimo apsimetant ir tiekimo grandinės atakų taikiniai, o riziką dar labiau padidina užpuolikų naudojamas dirbtinis intelektas.
- Grėsmių tyrimų ir MDR paslaugos siūlo MVĮ nuolatinę stebėseną, naujausią žvalgybą ir greitą reagavimą, nereikalaujant savo SOC.
- Tapatybės, el. pašto, atsarginių kopijų ir pagrindinių procesų stiprinimas kartu su mokymais ir kibernetiniu draudimu smarkiai sumažina realų kibernetinių atakų poveikį.
The MVĮ tapo vienu iš mėgstamiausių taikinių Kibernetiniai nusikaltėliai turi vertingos informacijos, vis labiau pasikliauja technologijomis, tačiau dažnai turi mažesnius biudžetus ir mažiau specializuotą saugumo personalą. Tai reiškia, kad daugelis atakų, anksčiau apsiribojusių didelėmis korporacijomis, dabar pastebimos įmonėse, turinčiose 10, 40 ar 100 darbuotojų – nuo profesionalių įmonių iki lengvosios pramonės įmonių.
Tuo pačiu metu, atvykus dirbtinis intelektas užpuolikų rankose Padėtis keičiasi: geriau parašyti sukčiavimo el. laiškai, automatizuotos kampanijos, labai patikimas vadovų ar tiekėjų imitavimas ir masinės atakos prieš tiekimo grandinę. Šiame kontekste Grėsmių tyrimai MVĮ O tokios paslaugos kaip MDR (valdomas aptikimas ir reagavimas) nustoja būti „tik didelėms įmonėms“ ir tampa realiu svertu išgyventi incidentus, kurie gali visiškai paralyžiuoti verslą.
Kodėl grėsmės taip smarkiai paveikia MVĮ?
Bet kurioje organizacijoje IT ir saugumo komandos susiduria su vis labiau pasiruošę ir atkaklūs priešininkaiTačiau MVĮ situacija yra sudėtingesnė, nes paprastai nėra biudžeto savo saugumo operacijų centrui (SOC) įsteigti ar ekspertų komandai visą parą išlaikyti. Nepaisant to, atakos nelaukia: išpirkos reikalaujančios programinės įrangos, sukčiavimo apsimetant ir prieigos piktnaudžiavimo atvejų toliau daugėja, o finansiniai nuostoliai daugeliu atvejų siekia dešimtis tūkstančių eurų per metus.
Tiesa ta Tai, kad neturite vidinės SOC, dar nereiškia, kad esate pasmerktas žlugti.Lygiai taip pat, kaip prieš daugelį metų mažos įmonės diegė debesijos sprendimus arba perdavė savo valdymo sistemas išoriniams vartotojams, šiandien jos gali „išsinuomoti“ pažangias kibernetinio saugumo galimybes. Būtent čia ir yra naudojamos paslaugos. Valdomas aptikimas ir reagavimas (MDR), kurie suteikia MVĮ analitikų komandą, stebėsenos įrankius ir brandžius incidentų reagavimo procesus, nereikalaujant samdyti visų darbuotojų.
Šis paslaugų teikimas iš išorės remiasi pagrindiniu ramsčiu: grėsmių tyrimai ir žvalgybaUž to, ką maža ar vidutinė įmonė (MVĮ) mato savo saugumo konsolėje, slypi pasauliniai tyrimų tinklai, analizuojantys kenkėjiškų programų pavyzdžius, kibernetinių nusikaltėlių grupių judėjimą, išpirkos reikalaujančių programų kampanijas, pažangių nuolatinių grėsmių (APT) operacijas ir net su valstybėmis susijusių veikėjų veiklą. Ši informacija paverčiama taisyklėmis, aptikimo duomenimis, įspėjimais ir veiksmų gairėmis, kurios galiausiai pasiekia mažą įmonę suprantama forma.
Šiame modelyje saugumo tiekėjų grėsmių tyrimų komandos veikia kaip savotiškas pasaulinis radaras, kuris tiekia informaciją MDR paslaugomsDėl milijonų galinių taškų telemetrijos ir bendradarbiavimo su lauko analitikais jie gali aptikti naujas tendencijas, susieti, atrodytų, pavienius incidentus ir labai greitai pritaikyti gynybą, kai atsiranda nauja technika ar kampanija.
Kaip grėsmių tyrimai padeda MVĮ
Šiuolaikinė grėsmių tyrimų komanda paprastai yra paskirstyta po kelis regionus, analitikai, besispecializuojantys skirtingose kenkėjiškų programų šeimose, išpirkos reikalaujančiose programose ir APT grupėseDalis jų darbų yra viešai prieinami (techniniai straipsniai, konferencijų pranešimai, viešos ataskaitos), o tai padeda didinti rinkos informuotumą ir dalytis išvadomis su bendruomene. Tačiau kita reikšminga informacijos dalis skirta verslo klientams ir MDR paslaugoms.
Tas privatus turinys apima operatyvinė informacija apie kibernetines nusikalstamas grupuotesKokius įrankius jie naudoja? Kaip jie juda tinkle? Į kokius sektorius jie taikosi? Kokias klaidas jie kartoja nuolat? MVĮ atveju, tai, kad ši intelektinė informacija jau yra integruota į jos saugumo sistemas, praktiškai reiškia, kad daugelis grėsmių yra tyliai blokuojamos, kol vartotojas net nepastebi nieko neįprasto.
Kasdien tyrėjai peržiūri telemetrijos duomenis iš tūkstančių įmonių galinių įrenginių ir serverių. Kai įspėjimas rodo kažką neįprasto, atliekama išsami imties ar įtartino elgesio analizė. Šis procesas apima klasifikuoti pažeidimo sunkumą, suprasti išpuolio tikslą Ir, jei įmanoma, priskirkite tai konkrečiai grėsmių grupei. Šis priskyrimas yra naudingas, nes leidžia numatyti tipinius tolesnius to veikėjo veiksmus ir sustiprinti gynybą ten, kur jos labiausiai reikia.
Tyrėjų ir MDR komandų bendradarbiavimas sukuria teigiamą ciklą: kai MDR analitikas susiduria su ypač įdomiu incidentu MVĮ, jis gali dalytis įrodymais ir kontekstu su Grėsmių tyrimų komandaKartais tai būna kelis mėnesius neaktyvaus veikėjo pasirodymas arba kenkėjiškos programos variantas, apeinantis ankstesnius parašus. Atvejis yra kruopščiai ištirtas, aprėptis pagerinama, ir šis patobulinimas galiausiai naudingas visoms prie paslaugos prisijungusioms įmonėms.
Be to, glaudūs santykiai su MDR klientais suteikia daug geresnis matomumas nei tas, kurį siūlo vien tik galiniai taškaiGeresnis infrastruktūros, svarbiausių darbo eigų, pagrindinių tiekėjų ir sistemos priklausomybių supratimas. Tai palengvina įsilaužimo atkūrimą žingsnis po žingsnio ir sutrumpina laiką nuo aptikimo iki veiksmingo izoliavimo.
Pagrindinės grėsmės: nuo socialinės inžinerijos iki išpirkos reikalaujančių programų ir tiekimo grandinės
Šiandieninėje ekosistemoje MVĮ susiduria su įvairiomis grėsmėmis, įskaitant Tikros kibernetinės atakos ir pagrindinės pamokosJų supratimas yra būtinas kuriant gynybos strategiją, kuri nesiremtų vien „daugiau įrankių“, bet ir Pirmenybę teikite investicijoms į pagrindines valdymo priemones.
Sukčiavimo apsimetant kitais asmenimis kampanijos ir toliau yra dažnos. dažniausiai pasitaikančios įėjimo durysPasitelkę dirbtinį intelektą, užpuolikai parengia nepriekaištingus el. laiškus, naudodami toną, kuris imituoja įmonės stilių, ir nurodydami tikrus tiekėjus ar vykdomus projektus. Neretai pasitaiko sukčiavimo atvejų, nukreiptų į finansų komandą, kai imituojamas skubus generalinio direktoriaus pranešimas, kuriame prašoma pervesti pinigus, pateikiant labai įtikinamus pasiteisinimus. Be daugiafaktorinio autentifikavimo ir dviejų veiksnių autentifikavimo, žmogiškosios klaidos yra labai dažnos.
Tuo tarpu išpirkos reikalaujanti programinė įranga ir toliau yra viena iš grėsmių, keliančių didesnis tiesioginis poveikis pinigams ir tęstinumuiNusikaltėliai derina duomenų šifravimą su informacijos išgavimu ir šantažu: jei įmonė nesumoka, jie grasina paskelbti neskelbtiną informaciją. Prie to prisideda ir „pradinės prieigos brokerių“ – tarpininkų, kurie parduoda iš anksto sukonfigūruotą prieigą trečiosioms šalims, – vaidmuo, taip dar labiau industrializuodami tokio tipo atakas ir sumažindami naujų grupių patekimo į rinką barjerą.
Kitas labai dažnas metodas išlieka žinomos programinės įrangos, ypač ERP sistemų, bendradarbiavimo įrankių ir debesijos paslaugų, pažeidžiamumų išnaudojimas. Daugelis MVĮ neturi aiški savo skaitmeninio turto arba išorinių priklausomybių inventorizacijair jie diegia pataisas vėlai arba nereguliariai. Taip paliekamas laiko tarpas, per kurį žinoma ir viešai atskleista pažeidžiamumas gali būti masiškai išnaudotas atliekant automatinius nuskaitymus.
Galiausiai, tiekimo grandinės atakos tapo didžiausia rizika. Kibernetiniai nusikaltėliai supranta, kad prastai apsaugotas IT arba pagalbos tarnybos paslaugų teikėjas Tai gali būti vartai į daugelį klientų, įskaitant didelius prekių ženklus. Tokiais atvejais MVĮ gali būti ir tiesioginė auka, ir „silpnoji grandis“, palengvinanti prieigą prie didesnės organizacijos, o tai sukelia reputacijos ir sutartinę riziką.
Dirbtinio intelekto vaidmuo: didesnė apimtis, didesnis patikimumas ir mažesnės išlaidos vienai atakai
Dirbtinis intelektas neišrado naujų grėsmių šeimų iš niekur nieko, bet jis... klasikinių atakų ciklas tapo pigesnis ir greitesnisŠiandien nusikaltėlis, turintis mažiau techninių žinių nei prieš kelerius metus, gali pradėti labai įtikinamas sukčiavimo kampanijas, automatizuoti nutekintų prisijungimo duomenų testus arba pritaikyti žinutes kiekvienos aukos kontekstui beveik realiuoju laiku.
Tokių organizacijų kaip NCSC ataskaitos rodo netolimą horizontą, kai pamatysime daugiau pusiau automatizuotų operacijųTai apima tikslines el. pašto kampanijas, scenarijus, kurie masiškai ieško žinomų pažeidžiamumų, ir robotus, kurie koreguoja savo metodą pagal aukų reakcijas. Mažoms ir vidutinėms įmonėms tai reiškia daugiau netvarkos jų pašto dėžutėse, daugiau nuotolinių įsilaužimo bandymų ir didesnę įtampą nesubrendusiems vidiniams procesams.
Tačiau tie patys šaltiniai pabrėžia, kad Gerai įgyvendintos pagrindinės gynybos priemonės išlieka labai veiksmingos.Sumažinkite atvirą paviršiaus plotą (uždarykite nereikalingas paslaugas, segmentuoti tinklą(ribojant nuotolinę prieigą) ir automatizuojant tokias užduotis kaip pataisų diegimas ar atsarginių kopijų valdymas, gaunama daug didesnė grąža nei leisti biudžetą pažangiems sprendimams be jų palaikymo proceso.
Prie šio scenarijaus prisideda ir „DI šešėlio“ reiškinys: darbuotojai kasdieniame darbe naudoja išmaniuosius asistentus ir agentus be aiškios įmonės politikos. Klientų duomenų, projekto informacijos ar prisijungimo duomenų siuntimas į išorines priemones be priežiūros kelia riziką... atskleisti neskelbtinus duomenis arba priimti nesaugius automatizuotus sprendimusTodėl, be technologijų, reikalingas valdymas: informacijos klasifikavimas, naudojimo apribojimai ir žmonių atliekama peržiūra svarbiausiose operacijose.
Lygiagrečiai atsiranda standartizacijos ir geriausios praktikos, skirtos saugiam dirbtinio intelekto agentų naudojimui, iniciatyvos, kuriomis siekiama užtikrinti sąveikumą ir duomenų apsaugą. MVĮ gali pasikliauti šiomis gairėmis, kad apibrėžti realią vidaus politiką kurie leidžia jiems panaudoti dirbtinį intelektą nesukuriant nereikalingų spragų jų saugumo pozicijoje.
Tipiniai MVĮ pažeidžiamumo veiksniai
Be užpuolikų naudojamų metodų, verta pažvelgti į save ir pripažinti struktūriniai trūkumai, kurie linkę pasikartoti mažose ir vidutinėse įmonėse. Darbas su jomis daro didžiulį poveikį bendros rizikos mažinimui.
Viena vertus, Žmogiškasis faktorius išlieka Achilo kulnuVien metinio pranešimo nepakanka: patirtis rodo, kad tik praktiniai mokymai, apimantys reguliarias sukčiavimo atvejo simuliacijas, reagavimo į incidentus pratybas ir trumpus, bet dažnai siunčiamus priminimus, iš tiesų tampa darbuotojų rutinos dalimi. Tie, kurie niekada nėra susidūrę su gerai parengtu sukčiavimo el. laišku, linkę nuvertinti, kaip lengva juo pasiduoti.
Kitas svarbus elementas yra tapatybės ir prieigos valdymas. Pakartotinai naudojami slaptažodžiai, silpna autentifikacija, paskyros su daugiau privilegijų nei būtina ir kontrolės stoka, kas ką pasiekia Tai idealios sąlygos rimtam pažeidimui. Mažiausių privilegijų principas, privalomas daugiafaktorinis autentifikavimas (MFA) kritinei prieigai ir periodinė leidimų peržiūra yra gana paprastos priemonės, tačiau jos dažnai atidedamos.
Nesaugios debesijos konfigūracijos ir aiškios atsarginių kopijų kūrimo strategijos nebuvimas sukuria dar vieną rizikos lygį. Neturint izoliuotų ar nekintamų atsarginių kopijų, išpirkos reikalaujančios programinės įrangos ataka gali sukelti... visiškas duomenų praradimas ir ilgalaikiai verslo sutrikimaiBe debesies paslaugų konfigūracijų stebėjimo, netinkamai sukonfigūruota saugykla gali lengvai palikti duomenis atvirus visam internetui niekam nepastebint.
Galiausiai, daugelis įmonių kenčia nuo to, atotrūkis tarp kibernetinio saugumo ir reguliavimo įsipareigojimųTokie reglamentai kaip BDAR arba NIS2 direktyva (konkretiems sektoriams) ne tik sprendžia baudų klausimą: jie reikalauja greito pranešimo pajėgumų, reagavimo planų, vadovų mokymo ir tiekimo grandinės kontrolės. Šios sistemos ignoravimas gali užkirsti kelią įmonei dalyvauti tam tikruose konkursuose ar komerciniuose susitarimuose, taip pat jai gali būti taikomos baudos po incidento.
MDR ir kibernetinis draudimas: techninė ir finansinė MVĮ politika
Susidūrusios su šia situacija, daugelis MVĮ renkasi jungtis MDR paslaugos su kibernetinio draudimo polisaisMDR veikia kaip „techninis draudimas“: jis stebi, aptinka, tiria ir padeda greitai reaguoti, sumažindamas atakos įvykimo ar didelės žalos padarymo tikimybę. Kita vertus, kibernetinis draudimas siūlo finansinę ir teisinę paramą, kai, nepaisant visko, įvyksta incidentas.
Gerai integruota MDR paslauga, atitinkanti MVĮ realybę Nuolatinis matomumas visuose galiniuose įrenginiuose, el. pašte, tinkle ir kai kuriais atvejais debesyjeAktyvios kampanijos atveju tai leidžia atkurti užpuoliko veiksmų grandinę: kaip jie gavo prieigą, kurias paskyras pažeisdavo, kokius duomenis galėjo pasiekti ir kaip jie judėjo tinkle. Šis atsekamumas yra labai svarbus ne tik norint veiksmingai išvalyti incidentą, bet ir norint įvykdyti pranešimo valdžios institucijoms ir klientams įsipareigojimus.
Be to, MDR sukuria tiesioginį komunikacijos kanalą tarp analitikų ir už saugumą ar IT atsakingo asmens įmonėje. Kai suveikia rimtas pavojaus signalas, nereikia pradėti nuo nulio: kontekstas jau yra, svarbiausios sistemos žinomos, o veiksmai, kurių galima imtis nedelsiant, yra iš anksto apibrėžti. Reakcijos greitis daro skirtumą tarp valdomos baimės ir kelias savaites trunkančios veiklos sutrikdymo.
Tuo pačiu metu bendradarbiavimas su specializuotais draudikais padeda MVĮ plačiau analizuoti jų poveikįTai apima ne tik tiesiogines atakas, bet ir tiekimo grandinės sutrikimus, teisinę atsakomybę už duomenų nutekėjimą ir paslaugų prastovas. Daugelyje polisų numatyta ne tik finansiniai nuostoliai, bet ir galimybė susisiekti su incidentų reagavimo komandomis, atlikti prevencinius auditus ir apmokyti darbuotojus.
Tačiau kibernetinis draudimas nepakeičia saugumo priemonių; priešingai, paprastai jam reikia minimalių įdiegtų kontrolės priemonių (daugiafunkcinis autentifikavimas, atsarginės kopijos, atnaujinimai ir kt.), kad būtų užtikrinta visapusiška apsauga. Šis derinys skatina MVĮ pakelti savo brandos lygį ir tai suteikia jiems apsaugos priemonę, jei, nepaisant visko, ataka pavyktų.
Praktinės priemonės: nuo pagrindų iki 30/60/90 dienų plano
Esant ribotiems ištekliams, svarbiausia ne bandyti daryti viską, o teisingai nustatykite prioritetusAteinančiais metais daugelis MVĮ turės daug ką nuspręsti, kaip struktūrizuoti savo investicijas į tapatybę, el. paštą, galinius įrenginius, atsargines kopijas ir ankstyvo aptikimo galimybes.
Praktinis požiūris apima darbą su 30/60/90 dienų planasPer pirmąsias 30 dienų sutelkite dėmesį į esminius dalykus: suskaičiuokite svarbiausią turtą ir sąskaitas, įjunkite patikimą daugiafaktorinį autentifikavimą el. pašte, VPN ir valdymo sistemose, patikrinkite, ar kuriamos atsarginės kopijos ir ar jas galima atkurti, ir apibrėžkite aiškų kovos su sukčiavimu protokolą mokėjimams ir banko sąskaitų pakeitimams.
Nuo 30 iki 60 dienų dėmesys turėtų būti nukreiptas į sustiprinti galinius taškus ir el. paštątinkamai sukonfigūruoti SPF, DKIM ir DMARC, blokuoti neautorizuotas makrokomandas ir vykdomuosius failus, kad pažeista komanda nekeltų pavojaus visai įmonei, ir atlikti pradinius mokymus, pritaikytus vaidmenims, su nedidele incidentų reagavimo simuliacija.
Nuo 60 iki 90 dienos patartina atlikti nedidelį rizikos valdymo skydasPaskyrų su MFA procentas, sistemų be kritinių pataisymų skaičius, atkūrimo laikas iš atsarginių kopijų ir kt. Tai taip pat idealus laikas sudaryti sutartį su išoriniu stebėjimo arba MDR teikėju ir įforminti dirbtinio intelekto naudojimo politiką, kurioje apibrėžiama, ką galima ir ko negalima bendrinti su asistentais.
Kartu su šiuo planu labai naudinga dirbti su paprastu veiklos kontroliniu sąrašu vadovybei ir IT specialistams: daugiapakopis finansinis patvirtinimas administracinėms sąskaitoms, dvigubas patvirtinimas jautriems mokėjimams, atnaujintas turto ir programinės įrangos inventorius, pagrindinės paslaugų lygio sutartys su tiekėjais, mėnesiniai atsarginių kopijų atkūrimo testai, ketvirtiniai mokymai su modeliavimais ir reagavimo planas su aiškiais kontaktais ir telefono numeriais. Nors tai gali atrodyti kaip „sveikas protas“, Skirtumas tarp raštiško pateikimo ir realaus bandymo ar ne yra milžiniškas. kai įvyksta tikras incidentas.
Mažos ir vidutinės įmonės negali sau leisti siekti tobulumo kibernetinio saugumo srityje, tačiau jos gali žingsnis po žingsnio sukurti tvirtą pagrindą, paremtą grėsmių tyrimais, MDR paslaugomis, paprastomis, bet gerai įdiegtomis kontrolės priemonėmis ir vidine kultūra, kurioje saugumas nebelaikomas „papildoma technine priemone“ ir laikomas natūralia verslo vykdymo dalimi šiandieniniame skaitmeniniame pasaulyje.
