Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Защита от угроз в реальном времени

Обновлено 05.07.2025 05:02

 

Организации часто сталкиваются с инцидентами безопасности именно в тот момент, когда единственный человек, способный работать с инструментами криминалистической визуализации, отсутствует на рабочем месте. Иногда до момента передачи атакованной машины ему на проверку проходит несколько дней, а к тому времени атака уже закончилась. Неспособность действовать с той же или большей скоростью, что и угроза, заставляет защитников брать на себя функции эксперта, который собирает доказательства и устраняет последствия уже после того, как злоумышленник сделал все что хотел. 

Заблаговременное создание ловушек, засад и возможностей для противостояния угрозе позволяет захватить ее живьем и тщательно допросить.

1. Создайте возможности для проведения экспертизы. Организуйте работу специальной группы, у которой есть оборудование, опыт, сертификаты и полномочия для выполнения компьютерных криминалистических экспертиз. Создайте соответствующие инструменты с блокировщиками записи, защищенными жесткими дисками и другими специализированными программами и устройствами. Убедитесь, что в каждую систему, используемую для захвата и анализа, назначен криминалистический агент, чтобы группа могла немедленно идентифицировать, локализовать, изолировать угрозу и начать сбор данных. Убедитесь, что все сотрудники понимают, чем и как могут помочь группе криминалистов в идентификации и локализации ущерба, а также сборе доказательств. Если с момента экспертизы прошло больше месяца, проведите с группой экспертов курсы повышения квалификации или обучение. Самое главное, когда будет подготовлен отчет об экспертизе, прочтите его, чтобы выявить основные причины инцидентов безопасности, и примите меры для устранения уязвимостей.

2. Разложите приманки. При необходимости дайте вашей команде возможность устраивать засады на злоумышленников, а не просто следовать за ними по пятам. Для активного отлавливания угроз и охоты на них требуется тесное взаимодействие с облачными хостами, интернет-провайдерами, регистраторами, поставщиками услуг VPN, Центром жалоб на интернет-преступления (Internet Crime Complaint Center, IC3), финансовыми службами, правоохранительными организациями, частными охранными и коммерческими компаниями. Организуйте создание в сети области, враждебной для злоумышленников, в которой вы и ваши партнеры объединенными усилиями сможете устраивать засады на злоумышленников, собирать доказательства, а также выявлять используемые ими вредоносные программы, инструменты и эксплойты.

3. Расставьте ловушки для тигров. Рассмотрите возможность установки ловушек для тигров в вероятных целях в вашей сети, например в контроллере домена. Возможно, на рынке появится продукт, который выполнял бы функции производственной системы с возможностями настройки ловушек, срабатывающих в случае выполнения неправильного действия. Поскольку злоумышленники, пытающиеся обойти меры безопасности, обычно переключаются с одной системы на другую или перемещаются по системам и сетям, у вас может получиться установить ложные или заминированные переходы, которые на первый взгляд ведут в другую сеть, но на самом деле — прямиком в ловушку. Установите эти ловушки таким образом, чтобы неправильные действия заставляли систему приостановить работу, блокировать или изолировать атаку, что позволит защищающимся заблокировать угрозу или исследовать ее в режиме реального времени. Это можно сделать, заморозив тактовый сигнал процессора, заставив жесткий диск работать только в буферном режиме или используя гипервизор для перехвата и регистрации активности. Обучите системных администраторов и других ИТ-специалистов работать в системе, не попадая в ловушку.