Представьте себе ситуацию, когда злоумышленник врывается в ваш дом и живет на вашем чердаке тайно, незаметно, в течение нескольких месяцев, крадя и уничтожая ваши активы без вашей информации, пока ущерб не будет нанесен и это совершенно очевидно.
Теперь представьте себе то же самое событие, но происходящее в цифровом виде в вашей сети. Этот злоумышленник тайно забирает важные личные данные и средства и со временем внедряет вредоносное ПО на ваши устройства. А количество атак на информационные ресурсы постоянно растет и нет никакой гарантии, что именно в эту минуту не атакуют ваши ресурсы. Только взгляните на он-лайн карту атак…
Время, которое злоумышленник провел в вашей сети незамеченным, мы называем «временем пребывания» (Dwell Time).
Итак, что такое время ожидания, как оно происходит и как его остановить, пока не стало слишком поздно? Мы отвечаем на эти вопросы и предоставляем другую важную информацию о времени пребывания.
Определенное время ожидания и как это работает?
Время ожидания — это промежуток времени между вторжением и кибератакой злоумышленника. Злоумышленники не всегда наносят удары мгновенно, и иногда им требуется время, чтобы скоординировать свой план, выполнить перечисление и разведку для получения мощных учетных данных, перемещаться по вашей сети и выполнить грозную атаку. Чем дольше время пребывания, тем больше вероятность того, что вашей организации был нанесен или скоро будет нанесен значительный ущерб.
Так как же это работает?
Угрозы, связанные с длительным временем ожидания, могут принимать различные формы, связанные с фишинговыми атаками и слабостями программного обеспечения, которые оставляют вас открытыми для доступа злоумышленников. В дополнение к этому, злоумышленник выйдет из времени пребывания только тогда, когда он полностью наметит свою атаку. Увеличенное время ожидания означает, что злоумышленник может не торопиться, чтобы создать сложный план атаки на вашу сеть по своему усмотрению.
Помимо ущерба, который один злоумышленник может нанести устройству из-за длительного времени ожидания, он также может привести к катастрофическим долгосрочным последствиям и выкупам.
Почему время ожидания имеет значение и как оно вызывает серьезные последствия?
Из-за того, что время ожидания может длиться месяцами, если злоумышленник не обнаружен, злоумышленник может найти способы воспользоваться разрешениями в сети. Это позволяет кибер-злоумышленнику перенести свое вредоносное ПО на столько конечных устройств, к которым у него есть доступ. Они также будут использовать это время, чтобы точно определить другие сетевые ресурсы, такие как резервные копии системы, и продать точку доступа другим кибер-злоумышленникам, также известным как брокеры первоначального доступа (IAB). В 2021 году эти IAB были признаны основными факторами, способствующими значительному времени ожидания, увеличив время ожидания на 36 процентов.
За исключением непоправимого ущерба, который может быть нанесен этими злоумышленниками, проблема с атаками, сделанными в течение длительного времени – это образ мышления, необходимый команде кибербезопасности. Прежде чем обнаруживать злоумышленников в сети, группа кибербезопасности может сосредоточиться на том, чтобы действовать как можно активнее, что является идеальным. Но после ответа на атаку злоумышленника внутри сети всегда следует предполагать, что злоумышленник находится в этой сети, пока проблема не будет полностью решена. Злоумышленники похожи на жуков, заражающих дом. Если один GateCrasher получил доступ к вашей сети, есть вероятность, что есть еще несколько прячущихся, ожидающих подходящей возможности атаковать.
Как можно сократить время пребывания?
Время выдержки можно сократить несколькими способами:
- Постоянно контролируйте свою сеть и потенциальные угрозы.
- Анализируйте коммуникации внутри вашей сети.
- Внедрите многофакторную аутентификацию для повышения уровня безопасности.
- Примените архитектуру “Никому не доверяй” (Xcitium Zero Trust Architecture) к стеку кибербезопасности во время ожидания.
Это всего лишь несколько методов предотвращения проникновения злоумышленников в вашу сеть и использования длительного времени ожидания для кражи, повреждения и продажи ваших личных данных. Итак, как вы можете начать интегрировать все эти шаги кибербезопасности во время ожидания в свой стек?
Время ожидания: выгнать и предотвратить проникновение в сеть злоумышленников
Внедрение решений кибербезопасности во время ожидания может быть сложным и утомительным процессом, на решение которого могут уйти месяцы без правильных инструментов.
Но так быть не должно.
Выше мы уже упоминали архитектуру “Никому не доверяй” (Xcitium Zero Trust Architecture). Это новый тренд в кибербезопасности. В двух словах – смысл такого подхода заключается в том, что решения разработчика (компания Xcitium) запускают все новые процессы и файлы в отдельной виртуальной машине и до тех пор, пока не будет принят вердикт о безопасности, эти процессы и файлы не получат доступ к вашим конечным точкам.
Вот что говорит сам разработчик: «Xcitium Complete Service с запатентованной системой ZeroDwell Containment упреждающе изолирует все неизвестные объекты во время выполнения для нейтрализации атак на конечные точки, рабочие нагрузки и сети, обеспечивая полную видимость контекста, непрерывный мониторинг и реагирование, целенаправленный поиск угроз с учетом рисков, под управлением экспертов мирового класса по безопасности. Круглосуточно, 7 дней в неделю, 365 дней в неделю, а также мастерское исправление для защиты от атак в будущем.»
Запатентованная Xcitium виртуализация на уровне ядра предотвращает доступ неизвестных вредоносных программ к критически важным системным ресурсам, которые злоумышленники намеренно используют для выкупа, кражи или повреждения.
Хотите узнать, как Xcitium может сократить время ожидания до нуля с помощью автоматизированного сдерживания? Детальное описание этого решения есть на сайте вендора, но можно получить консультацию, заказать демоверсию решений также у официального представителя Xcitium – компании Идеалсофт.
