Вредоносное ПО: алгоритм действий для эффективной защиты

7 Мая, 2014 11:59
Адам Филпотт, директор Cisco по информационной безопасности
Ежегодный отчет Cisco по информационной безопасности показал, что во всех корпоративных сетях можно обнаружить вредоносное ПО того или иного вида. При этом важно помнить, что не все атаки принадлежат к категории злонамеренных или опасных. К сожалению, многие ИТ-менеджеры не могут отличить безопасное ПО от вредоносного, не говоря уж о том, чтобы заблокировать и удалить источник угроз. Что еще хуже, отвечающий за информационную безопасность специалист может пребывать в блаженном неведении относительно проникшего в сеть вредоносного ПО.

Одно из отличительных свойств вредоносного ПО – способность уклоняться от захвата и оставаться не обнаруженным во время сбора данных или повреждения систем. Политики и средства контроля могут до некоторой степени сократить поверхность атаки. Однако в защите всегда будут оставаться бреши, которые злоумышленники могут найти, используя, помимо прочего, атаки с учетом изолированной программной среды и полиморфные вирусы.

Умение видеть невидимое

Новый подход к управлению вредоносным ПО на основе платформы позволит отвечающим за обеспечение ИБ администраторам снова взять ситуацию под контроль. Недостаточно обезвреживать легко идентифицируемые угрозы по мере их возникновения. Интеллектуальные автоматизированные средства защиты должны быть встроены в сеть и подключенные к ней устройства. Для эффективной борьбы с вредоносным ПО необходимо усилить роль предоставляемых по умолчанию базовых ресурсов − встроенных в сетевую инфраструктуру «умных» технологий защиты. В сочетании с контекстной информацией о пользователях, устройствах, местоположении и т. д. данный подход обеспечивает еще более оперативное выявление и предотвращение угроз.

Правда в том, что невозможно обеспечить защиту, если не видеть угроз, — а посмотреть действительно есть на что. Новые угрозы появляются столь стремительно, что технологии обеспечения безопасности просто не успевают справляться с ними. С каждым днем вредоносное ПО становится все более изощренным и усовершенствованным. Следует признать, что угрозы все еще проникают за наши линии обороны.

Для эффективной защиты от вредоносного ПО следует придерживаться следующего алгоритма действий:

1. До потенциальной атаки необходимо настроить сеть с максимально строгими параметрами безопасности и затем осуществлять мониторинг вторжений.

2. Во время атаки понадобится максимально эффективная технология обнаружения и блокировки угроз. Необходимо учитывать, что всегда найдется вредоносное ПО, проникающее в корпоративную сеть, особенно после крушения традиционного периметра.

3. После успешно ликвидированной атаки необходимо оценить уровень повреждения и как можно скорее привести сеть в нормальное состояние.

Чтобы видеть всё происходящее в сети, требуется смотреть и вширь, и вглубь. Следует понимать, что чем больше данных будет собрано, тем увереннее можно опираться на корреляцию и контекст. Ретроспективный анализ вредоносного ПО, способов его проникновения в сеть и предпринятых мер по борьбе с ним позволяет скорректировать политики и предотвратить атаки в будущем.

Комментарии:

НОВЫЕ СТАТЬИ

Новая стратегия NetApp: первые плоды
Владимир Смирнов Вчера 10:51
Сетевое оборудование Cisco по подписке
Владимир Смирнов 20 Ноября 10:09
Представлен «Самый быстрый Firefox»
Иван Николенко 16 Ноября 10:13