- Bezfailu ļaunprogrammatūra darbojas atmiņā un ļaunprātīgi izmanto likumīgus rīkus, piemēram, PowerShell vai WMI.
- Tas var nozagt datus, šifrēt failus vai izspiegot datorus, neatstājot acīmredzamas pēdas diskā.
- Efektīvai noteikšanai ir nepieciešama uzvedības un procesu, ne tikai failu, uzraudzība.
- Aizsardzībai nepieciešama EDR, segmentācija, ielāpu ieviešana un skriptu un makro izmantošanas samazināšana.
Pēdējos gados bezfailu ļaunprogrammatūra Bezfailu ļaunprogrammatūra ir kļuvusi par vienu no nopietnākajām galvassāpēm IT un drošības komandām. Mēs nerunājam par tipisku vīrusu, ko lejupielādējat pielikumā un ko var noņemt ar pretvīrusu skenēšanu, bet gan par kaut ko daudz slēptāku, kas slēpjas pašas sistēmas procesos.
Šāda veida draudi izmanto priekšrocības likumīgi operētājsistēmas rīkiĪpaši operētājsistēmā Windows tas var izpildīt ļaunprātīgu kodu tieši RAM. Tā kā tas gandrīz neatstāj pēdas diskā, tas var apiet daudzas tradicionālās pretvīrusu programmas un palikt aktīvs pietiekami ilgi, lai nozagtu informāciju, šifrētu failus vai uzturētu aizmugurējās durvis, netiekot atklāts.
Kas īsti ir bezfailu ļaunprogrammatūra?
Runājot par bezfailu ļaunprogrammatūru, mēs domājam ļaunprātīgs kods, kas nav atkarīgs no klasiskā izpildāmā faila diskā lai darbotos. Tā vietā, lai tiktu instalēta kā jebkura cita programma, tā paļaujas uz sistēmā jau esošajiem komponentiem (skriptiem, pakalpojumiem, komandu interpretatoriem utt.), lai ielādētu un izpildītu instrukcijas tieši atmiņā.
No tehniskā viedokļa šī ļaunprogrammatūra parasti tikt injicētam procesos, kas jau darbojas vai arī tos var palaist, izmantojot komandas, kas visu ielādē RAM. Tas nozīmē, ka pēc datora izslēgšanas vai restartēšanas daudzi varianti pazūd, taču tikmēr tiem ir pietiekami daudz laika, lai nodarītu nopietnu kaitējumu.
Salīdzinot ar failu ļaunprogrammatūru, šie draudi ir vieglāks, diskrētāks un daudz grūtāk izsekojamsDiskā neatradīsiet aizdomīgu .exe failu un ne vienmēr ļaunprātīgu instalētāju: problēma slēpjas tajā, kas notiek procesos, kuri šķiet uzticami.
Šīs pieejas straujā popularitāte pieauga ap 2017. gadu, kad kampaņas sāka apvienot bezfailu metodes ar klikšķināšanas Trojas zirgi, uzlabota reklāmprogrammatūra un attālās piekļuves rīki (RAT)Mūsdienās tie ir integrēti visu veidu operācijās: sākot no spiegošanas un pretvīrusu uzbrukumiem līdz izspiedējvīrusiem un kriptovalūtu ieguvei.
Kā iekšēji darbojas bezfailu ļaunprogrammatūra
Lai saprastu, kā tas darbojas, ir vērts atcerēties, ka lielākā daļa parasto lietojumprogrammu tiek izplatītas kā fails, kas tiek ierakstīts diskā un pēc tam ielādēts atmiņā kad lietotājs to palaiž. Savukārt bezfailu ļaunprogrammatūra izlaiž pirmo soli un materializējas tieši RAM atmiņā, izmantojot pašas operētājsistēmas mehānismus.
Daudzas kampaņas balstās uz ideju par "dzīvošanu no zemes dāļām" (dzīvo no zemes): uzbrucējs ļaunprātīgi izmanto likumīgās administratīvās pilnvaras tā vietā, lai ieviestu jaunus bināros failus. Operētājsistēmā Windows galvenais piemērs ir PowerShell, taču tiek izmantoti arī WMI, mshta, rundll32, VBScript vai JScript skripti un citi uzticami binārie faili (LoLBins).
Tipisks scenārijs būtu šāds: lietotājs atver Office dokumentu ar ļaunprātīgu saturu vai noklikšķina uz pikšķerēšanas saites; pēc tam skripts, kas izsauc PowerShell vai citu rīku, lai lejupielādētu, atšifrētu vai ievadītu atmiņā nākamās fāzes kodu. Tas viss var notikt, neizveidojot pastāvīgu failu cietajā diskā.
Vēl viens izplatīts vektors ietver priekšrocību izmantošanu attālinātas koda izpildes ievainojamības, piemēram, bufera pārpildes pārlūkprogrammās, spraudņos vai servera lietojumprogrammās. Izmantojot šo ievainojamību, uzbrucējs var tieši izpildīt apvalka kodu ievainojamajā procesā un no turienes ielādēt pārējās komponentes atmiņā.
Daži varianti pat izmanto Windows reģistrs vai plānotie uzdevumi lai uzglabātu skriptus vai komandas, kas atkārtoti aktivizē uzbrukumu, kad sistēma tiek startēta vai lietotājs piesakās. Pat ja kaut kas tiek ierakstīts reģistrā, galvenā ļaunprātīgā loģika turpina darboties atmiņā, apgrūtinot tās atklāšanu ar rīkiem, kas koncentrējas tikai uz failu sistēmu.
Infekcijas metodes un sākotnējā piekļuve
Ieejas durvis parasti ir diezgan klasiskas: pikšķerēšanas e-pasti, ļaunprātīgas saites un viltoti dokumenti Tie joprojām ir sākotnējās piekļuves karaļi, pat ja pamatā tiek izmantotas bezfailu metodes. Knifs ir tāds, ka visā ķēdē tiek pieliktas visas pūles, lai samazinātu jebkādu diska nospiedumu.
Daudzos gadījumos tie tiek izmantoti Microsoft Office dokumenti ar makro Aktivizējot šos makro, tie izsauc PowerShell vai WMI, lai lejupielādētu un izpildītu nākamo uzbrukuma posmu atmiņā. Pat bez makro uzbrucēji izmanto Word, Excel, ievainojamības. PDF lasītāji vai pati skriptēšanas programma, lai panāktu koda izpildi.
Cita pieeja ietver tiešu sviras efektu šķietami nekaitīgi izpildāmie faili ko lietotājs saņem pa e-pastu vai lejupielādē no tīmekļa. Šis izpildāmais fails var izvilkt ļaunprātīgu moduli un ielādēt to atmiņā, izmantojot tādas metodes kā refleksija .NET vidē, faktiski nesaglabājot to diskā kā atsevišķu failu.
Ir arī kampaņas, kuru mērķis ir tīmekļa serveri vai lietojumprogrammas, kas ir pakļautas internetam, kur ievainojamība tiek izmantota, lai izvietotu tīmekļa apvalki ar bezfailu komponentiemNesens piemērs ir Godzilla un līdzīgu rīku izmantošana, kuros ļaunprātīgs kods pārvietojas HTTP pieprasījumu ietvaros un tiek tieši ievadīts atmiņā apdraudētajā serverī.
Visbeidzot, uzbrucēji bieži izmanto nozagtas akreditācijasJa viņi iegūst administratora vai privilēģiju konta lietotājvārdu un paroli, viņi var pieteikties, izmantojot RDP vai citus kanālus, un manuāli palaist PowerShell skriptus, WMI komandas vai administratīvos rīkus, kas ielādē ļaunprogrammatūru atmiņā, neatstājot sistēmā jaunus izpildāmos failus.
Konkrētas metodes, ko izmanto bezfailu ļaunprogrammatūra
Viens no šo uzbrukumu atslēgas elementiem ir atkārtota izmantošana vietējie Windows rīki kā līdzekli viņu skriptiem. Tas izraisa ļaunprātīgas darbības saplūšanu ar parastiem administratīvajiem uzdevumiem, sarežģījot analīzi un reaģēšanu.
Starp visizplatītākajām metodēm mēs atrodam tādu, kas izmanto PowerShell kā iegultā koda palaidējs tieši no komandrindas. Piemēram, kā parametrs tiek nodots apmulsināts skripts, izpildes politika tiek atspējota, logs tiek paslēpts un lietderīgā slodze tiek lejupielādēta tieši atmiņā, neatstājot redzamu .ps1 failu vai kādu aizdomīgu izpildāmo failu.
Vēl viena ļoti populāra taktika ir ļaunprātīgu skriptu glabāšana Windows pārvaldības instrumentācijas (WMI) abonementiIk pa laikam WMI aktivizē skriptu, kas var izpildīt kodu no atmiņas, izveidot savienojumu ar komandu un vadības serveriem vai palaist jaunus infekcijas posmus.
Līdzīgi daudzas grupas izmanto Windows reģistra un uzdevumu plānotājs kā patvērumu saviem skriptiem un komandām. Tā vietā, lai ievietotu izpildāmo failu startēšanas mapē, viņi definē startēšanas atslēgas vai ieplānotus uzdevumus, kas palaiž PowerShell, mshta vai rundll32 skriptus ar iegultu vai tiešu kodu.
Tehnikas ir redzamas arī atspulgs .NET vidēkur viegls izpildāmais fails satur šifrētus vai saspiestus komplektus, kas tiek ielādēti tieši atmiņā, izmantojot Reflection.Load, nekad netiekot ierakstīti diskā kā .dll faili. Tas ļauj izvietot ļoti sarežģītus Trojas zirgus viena, šķietami normāla procesa ietvaros.
Ko var izdarīt bezfailu uzbrukums?
Neskatoties uz nosaukumu, bezfailu uzbrukuma ietekme nav ierobežota. Patiesībā tas var veikt tādas pašas funkcijas kā tradicionālajai ļaunprogrammatūraiinformācijas zādzība, datu šifrēšana, sānu pārvietošanās, spiegošana, kriptovalūtas ieguve vai pastāvīgu aizmugurējo durvju uzstādīšana.
Daudzas bezfailu kampaņas uzvedas šādi akreditācijas zaglisTas ietver paroļu, sesijas žetonu vai autentifikācijas jaucējkodu iegūšanu no sensitīvu procesu atmiņas. Tas atvieglo privilēģiju eskalāciju, vairāku sistēmu kompromitēšanu un ilgstošas piekļuves uzturēšanu, neizmantojot papildu bināros failus.
Citi koncentrējas uz bezfailu izspiedējvīrusskur daļa no šifrēšanas un komunikācijas loģikas tiek izpildīta tieši atmiņā. Lai gan diska komponents kādā brīdī var manipulēt ar lielu skaitu failu, sākotnējā ielāde un uzbrukuma kontrole tiek veikta ar bezfailu metodēm, lai izvairītos no agrīnas atklāšanas.
Uzbrucēji var arī instalēt rootkit vai uzlabotas RAT programmas Kad šie rīki ir izveidoti, tie izmanto bezfailu kanālus, lai saņemtu komandas, pārvietotos tīklā un atjauninātu moduļus. Tā kā tie ir integrēti sistēmas procesos vai kritiski svarīgos pakalpojumos, šos rīkus ir īpaši grūti izskaust.
Ekonomiskajā aspektā ietekme izpaužas šādi: datu zudumi, pakalpojumu pārtraukumi, normatīvo aktu sodi un reputācijas bojājumiTā kā šie ielaušanās gadījumi bieži vien mēnešiem ilgi paliek neatklāti, eksfiltrētās informācijas apjoms un pārkāpuma apmērs var būt milzīgs.
Bezfailu ļaunprogrammatūras uzbrukuma fāzes
Lai gan tehniskie aspekti atšķiras, bezfailu uzbrukuma dzīves cikls ir diezgan līdzīgs jebkura sarežģīta ielaušanās ciklam. Kādas izmaiņas ir katrā fāzē izmantotie mehānismi un to, kā viņi sevi maskē.
Gada stadijā sākotnējā piekļuveUzbrucējam ir nepieciešams sākotnējais atbalsts: klikšķis uz pikšķerēšanas saites, makro saturoša dokumenta atvēršana, ievainojama servera izmantošana vai kompromitētu akreditācijas datu atkārtota izmantošana. Pēc tam mērķis ir izpildīt kodu mērķa sistēmā.
Kad šis posms ir sasniegts, sākas nākamais izpilde atmiņāŠeit noder PowerShell, WMI, mshta, rundll32, VBScript, JScript vai citi interpretētāji, lai ielādētu un aktivizētu vērtumu, neģenerējot pastāvīgus izpildāmos failus diskā. Kods parasti tiek maskēts vai šifrēts un atšifrēts tikai RAM atmiņā.
Tad sākas vajāšana neatlaidībaLai gan daudzas bezfailu vērtuma slodzes pazūd, restartējot datoru, sarežģīti uzbrucēji apvieno RAM rezidentus skriptus ar reģistra atslēgām, ieplānotiem uzdevumiem vai WMI abonementiem, kas atkārtoti palaiž kodu katru reizi, kad tiek izpildīts noteikts nosacījums, piemēram, sistēmas startēšana vai lietotāja pieteikšanās.
Visbeidzot, galīgie mērķi Uzbrucēja darbības ietver datu zādzības un eksfiltrāciju, informācijas šifrēšanu, papildu ļaunprogrammatūras izvietošanu, nepārtrauktu spiegošanu un kritiski svarīgu sistēmu sabotāžu. Tas viss tiek darīts, cenšoties saglabāt pēc iespējas zemāku profilu, lai izvairītos no agrīniem brīdinājumiem un kriminālistikas analīzes.
Kāpēc to ir tik grūti atklāt?
Lielākā problēma ar bezfailu ļaunprogrammatūru ir tā, ka Tas lauž klasisko aizsardzības modeli, kas balstīts uz failiem un parakstiemJa nav aizdomīga izpildāmā faila, ko analizēt, daudzi pretvīrusu dzinēji paliek akli pret to, kas notiek atmiņā un likumīgos procesos.
Failu trūkums diskā nozīmē, ka Nav objektu, kas periodiski jāpārbauda meklējot zināmus modeļus. Turklāt, izmantojot operētājsistēmas pašas parakstītus bināros failus, piemēram, PowerShell.exe, wscript.exe vai rundll32.exe, ļaunprātīga darbība tiek maskēta aiz nosaukumiem, kuriem administrators parasti uzticas.
Turklāt daudziem mantotiem produktiem ir Ierobežota pārredzamība darbojošos procesosTie koncentrējas uz failu sistēmu un tīkla trafiku, bet tik tikko pārbauda iekšējos API izsaukumus, komandrindas parametrus, skriptu darbību vai reģistra notikumus, kas varētu atklāt bezfailu uzbrukumu.
Uzbrucēji, apzinoties šos ierobežojumus, ķeras pie Apmulsināšanas, šifrēšanas un koda fragmentācijas metodesPiemēram, tie sadala ļaunprātīgu skriptu vairākos fragmentos, kas tiek salikti reāllaikā, vai arī slēpj instrukcijas attēlos, iegultos resursos vai šķietami nekaitīgās virknēs.
Vidēs, kur sistēmas tiek reti restartētas (kritiski svarīgi serveri, ražošanas termināļi utt.), atmiņā esoša ļaunprogrammatūra var palikt aktīvam nedēļām vai mēnešiem ilgi netiekot atklātam, it īpaši, ja pārvietojaties piesardzīgi un samazināt satiksmes intensitāti vai uzkrītošas darbības.
Tradicionālo aizsardzības līdzekļu ierobežojumi
Daudzu pakalpojumu sniedzēju sākotnējā reakcija uz šo draudu ir bijusi mēģinājums ierobežot vai tieši bloķēt tādus rīkus kā PowerShell vai Office makroLai gan tas var mazināt dažus vektorus, vairumā organizāciju tas nav reālistisks vai pilnīgs risinājums.
PowerShell ir kļuvis par galvenā Windows sistēmas administrēšanas sastāvdaļaUzdevumu automatizācija, programmatūras izvietošana un serveru pārvaldība. To pilnīga bloķēšana paralizētu IT darbplūsmas un piespiestu atkārtoti veikt daudzus iekšējos procesus.
Turklāt no uzbrucēja viedokļa ir vairāki veidi, kā apiet vienkāršu bloķēšanas politikuIr metodes, kā ielādēt PowerShell dzinēju no bibliotēkām (dll), izmantojot rundll32, konvertēt skriptus izpildāmos failos ar tādiem rīkiem kā PS2EXE, izmantot modificētas PowerShell.exe kopijas vai pat iegult PowerShell skriptus PNG attēlos un palaist tos ar apmulsinātām komandrindām.
Kaut kas līdzīgs notiek ar Office makro: Daudzi uzņēmumi ir no tiem atkarīgi lai automatizētu pārskatus, aprēķinus un biznesa procesus. To globāla atspējošana var sabojāt iekšējās lietojumprogrammas, savukārt paļaušanās tikai uz VBA koda statisko analīzi bieži vien rada grūti pārvaldāmu kļūdaini pozitīvu un kļūdaini negatīvu rezultātu līmeni.
Turklāt dažas pieejas, kuru pamatā ir mākonī balstīta noteikšana kā pakalpojums Tiem nepieciešams pastāvīgs savienojums, un dažreiz tie darbojas ar pārāk lielu aizkavi, lai novērstu ļaunprogrammatūras sākotnējo izpildi. Ja bloķēšanas lēmums tiek pieņemts dažas sekundes vai minūtes vēlāk, kaitējums, iespējams, jau ir nodarīts.
Fokuss mainās: no failiem uz uzvedību
Tā kā fails vairs nav galvenais elements, mūsdienu aizsardzības risinājumi koncentrējas uz uzraudzīt procesu uzvedību nevis tikai pārbauda failu saturu. Ideja ir tāda, ka, lai gan pastāv tūkstošiem ļaunprogrammatūras variantu, ļaunprātīgās darbības modeļi ir daudz mazāk daudzveidīgi.
Šī pieeja balstās uz dzinējiem, uzvedības analīze un mašīnmācīšanās kas nepārtraukti uzrauga katra procesa darbību: kādas komandas tas palaiž, kādus sistēmas resursus tas izmanto, kā tas sazinās ar ārpasauli un kādas izmaiņas tas cenšas ieviest vidē.
Piemēram, Office process var tikt atzīmēts kā aizdomīgs, ja izpilda apmulsinātu PowerShell komandu ar parametriem, lai atspējotu drošības politikas un lejupielādētu kodu no aizdomīga domēna. Vai arī process, kas bez redzama iemesla pēkšņi piekļūst simtiem sensitīvu failu vai modificē kritiskas reģistra atslēgas.
Jaunākās paaudzes EDR sistēmas un XDR platformas apkopo detalizēta galapunktu, serveru un tīkla telemetrijaun spēj rekonstruēt pilnīgus stāstus (dažreiz sauktus par sižeta līnijām) par to, kā incidents radies, kādi procesi tajā bijuši iesaistīti un kādas izmaiņas piedzīvojusi skartā iekārta.
Labs uzvedības dzinējs ne tikai atklāj draudus, bet arī var mazināt vai automātiski novērst ļaunprātīgas darbības: apturēt iesaistītos procesus, izolēt datoru, atjaunot šifrētus failus, atsaukt reģistra izmaiņas un pārtraukt saziņu ar komandu un vadības domēniem.
Tehnoloģijas un galveno notikumu avoti operētājsistēmā Windows
Lai analizētu bezfailu draudus operētājsistēmā Windows, ir īpaši noderīgi izmantot šādas priekšrocības: vietējās operētājsistēmas telemetrijas mehānismi, kas jau ir tur un piedāvā daudz informācijas par to, kas notiek aizkulisēs.
Vienā pusē ir Event Tracing for Windows (ETW)ETW ir ietvars, kas ļauj ierakstīt ļoti detalizētus notikumus, kas saistīti ar procesu izpildi, API izsaukumiem, piekļuvi atmiņai un citiem iekšējiem sistēmas aspektiem. Daudzi EDR risinājumi paļaujas uz ETW, lai reāllaikā atklātu netipisku uzvedību.
Vēl viena svarīga sastāvdaļa ir Antiļaunprātīgo programmu skenēšanas interfeiss (AMSI)AMSI ir Microsoft izstrādāta API, kas ļauj drošības programmām pārbaudīt skriptus un dinamisko saturu tieši pirms to palaišanas, pat ja tie ir maskēti. AMSI ir īpaši noderīga ar PowerShell, VBScript, JScript un citām skriptvalodām.
Turklāt mūsdienu dzinēji tiek periodiski analizēti. sensitīvas zonas, piemēram, reģistrs, uzdevumu plānotājs, WMI abonementi vai skriptu izpildes politikasAizdomīgas izmaiņas šajās zonās bieži vien liecina par pastāvīgu bezfailu uzbrukumu.
To visu papildina heiristikas metodes, kas ņem vērā ne tikai pašreizējo procesu, bet arī izpildes konteksts: no kurienes nāk vecākprocess, kāda tīkla aktivitāte ir novērota pirms un pēc tam, vai ir bijušas dīvainas kļūmes, anomāli bloķējumi vai citi signāli, kas, kopā ņemot, rada aizdomas.
Praktiskas atklāšanas un profilakses stratēģijas
Praksē sevis aizsardzība pret šiem draudiem ietver apvienošanu tehnoloģijas, procesi un apmācībaNepietiek tikai instalēt pretvīrusu programmu un aizmirst par to; ir nepieciešama daudzslāņu stratēģija, kas pielāgota bezfailu ļaunprogrammatūras reālajai uzvedībai.
Tehniskā līmenī ir svarīgi izvietot EDR vai XDR risinājumi ar uzvedības analīzes iespējām un procesa līmeņa pārskatāmību. Šiem rīkiem jāspēj reģistrēt un korelēt aktivitātes reāllaikā, bloķēt anomālu uzvedību un sniegt drošības komandai skaidru kriminālistisko informāciju.
Tas ir arī ērti PowerShell, WMI un citu interpretatoru lietošanas ierobežošana tikai tam, kas ir absolūti nepieciešams, piemērojot piekļuves kontroles sarakstus, skriptu parakstīšanu (koda parakstīšana) un izpildes politikas, kas ierobežo, kāds kods var tikt palaists un ar kādām privilēģijām.
Lietotāju pusē apmācība joprojām ir ļoti svarīga: ir jāpastiprina izpratne par pikšķerēšanu, aizdomīgām saitēm un negaidītiem dokumentiemTas ir īpaši svarīgi personālam, kam ir piekļuve sensitīvai informācijai vai augsta līmeņa privilēģijas. Samazinot neuzmanīgu klikšķu skaitu, ievērojami samazinās uzbrukuma virsma.
Visbeidzot, nevar ignorēt ielāpu un programmatūras atjauninājumu ciklsDaudzas bezfailu ķēdes sākas, izmantojot zināmas ievainojamības, kurām jau ir pieejami ielāpi. Pārlūkprogrammu, spraudņu, uzņēmuma lietojumprogrammu un operētājsistēmu atjaunināšana aizver vērtīgas durvis uzbrucējiem.
Pārvaldītie pakalpojumi un apdraudējumu medības
Vidēja un liela mēroga organizācijās, kur pasākumu apjoms ir milzīgs, iekšējai komandai ir grūti visu redzēt. Tāpēc tie kļūst arvien populārāki. uzraudzības un pārvaldītas reaģēšanas pakalpojumi (MDR/EMDR) un ārējie drošības operāciju centri (SOC).
Šie pakalpojumi apvieno progresīvas tehnoloģijas ar analītiķu komandas, kas veic uzraudzību visu diennakti savu klientu vidē, korelējot vājus signālus, kas citādi paliktu nepamanīti. Ideja ir atklāt bezfailu ļaunprogrammatūrai raksturīgu uzvedību, pirms rodas bojājumi.
Daudzas SOC balstās uz tādiem ietvariem kā MITER AT&CK lai katalogizētu pretinieku taktiku, metodes un procedūras (TTP) un izveidotu īpašus noteikumus, kas vērsti uz izpildi atmiņā, LoLBins ļaunprātīgu izmantošanu, ļaunprātīgu WMI vai slepeniem datu eksfiltrācijas modeļiem.
Papildus nepārtrauktai uzraudzībai šie pakalpojumi parasti ietver kriminālistiskā analīze, incidentu reaģēšana un konsultācijas lai uzlabotu drošības arhitektūru, novērstu atkārtotas nepilnības un stiprinātu kontroli galapunktos un serveros.
Daudziem uzņēmumiem šīs funkcijas daļas uzticēšana ārpakalpojumā ir visizdevīgākais veids, kā tikt galā ar šādiem sarežģītiem draudiem, jo ne visi var atļauties iekšēju komandu, kas specializējas progresīvas ļaunprogrammatūras medībās.
Realitātē bezfailu ļaunprogrammatūra ir uz visiem laikiem mainījusi mūsu izpratni par galapunktu drošību: Faili vairs nav vienīgais galvenais rādītājsUn tikai dziļas pārskatāmības, uzvedības analīzes, labas vadības prakses un paplašinātas kiberdrošības kultūras kombinācija var to ikdienā novērst.
