Что такое киберугроза?

Что такое киберугроза?

Киберугроза, называемая также угрозой кибербезопасности, — это термин, обозначающий возможность проведения кибератаки. Любая угроза, связанная с кибербезопасностью, которая в принципе может нанести вред системе, устройству, сети, отдельному лицу, семье или организации, считается киберугрозой.

Важно отметить, что киберугроза не обязательно должна приводить к атаке, чтобы считаться угрозой; просто должна существовать вероятность того, что атака может произойти.

Типы киберугроз

Киберугроза и кибератака: в чем разница?

Основное различие между киберугрозой и кибератакой заключается в том, что киберугроза означает возможность проведения кибератаки, тогда как термин «кибератака» относится к фактически произошедшей атаке.

Кибератака по определению — это атака на устройства, сети или системы со стороны киберпреступников, которые стремятся получить доступ к конфиденциальной информации или украсть ее в своих интересах, которые обычно связаны с денежной выгодой.

Как защититься организации

1. Используйте эффективные технические средства защиты:

Системы централизованного управления обновлениями и патчами для используемого ПО. Для правильной приоритизации планов по обновлениям необходимо учитывать сведения об актуальных угрозах безопасности.

Системы антивирусной защиты со встроенной изолированной средой («песочницей») для динамической проверки файлов, способные выявлять и блокировать вредоносные файлы в корпоративной электронной почте до момента их открытия сотрудниками и другие вирусные угрозы. Наиболее эффективным будет использование антивирусного ПО, построенного на решениях одновременно нескольких производителей, способного обнаруживать скрытое присутствие вредоносных программ и позволяющего выявлять и блокировать вредоносную активность в различных потоках данных — в почтовом, сетевом и веб-трафике, в файловых хранилищах, на веб-порталах. Важно, чтобы выбранное решение позволяло проверять файлы не только в реальном времени, но и автоматически анализировало уже проверенные ранее, это позволит выявить не обнаруженные ранее угрозы при обновлении баз сигнатур.

SIEM-решения — для своевременного выявления и эффективного реагирования на инциденты информационной безопасности. Это позволит своевременно выявлять злонамеренную активность, попытки взлома инфраструктуры, присутствие злоумышленника и принимать оперативные меры по нейтрализации угроз.

Автоматизированные средства анализа защищенности и выявления уязвимостей в ПО.

Межсетевые экраны уровня приложений (web application firewalls) — в качестве превентивной меры защиты веб-ресурсов.

Системы глубокого анализа сетевого трафика — для обнаружения сложных целевых атак как в реальном времени, так и в сохраненных копиях трафика. Применение такого решения позволит не только увидеть не обнаруженные ранее факты взлома, но и в режиме реального времени отслеживать сетевые атаки, в том числе запуск вредоносного ПО и хакерских инструментов, эксплуатацию уязвимостей ПО и атаки на контроллер домена. Такой подход позволит существенно снизить время скрытного присутствия нарушителя в инфраструктуре, и тем самым минимизировать риски утечки важных данных и нарушения работы бизнес-систем, снизить возможные финансовые потери от присутствия злоумышленников.

Специализированные сервисы анти-DDoS.

2. Защищайте данные:

• не храните чувствительную информацию в открытом виде или в открытом доступе;
• регулярно создавайте резервные копии систем и храните их на выделенных серверах отдельно от сетевых сегментов рабочих систем;
• минимизируйте, насколько это возможно, привилегии пользователей и служб;
• используйте разные учетные записи и пароли для доступа к различным ресурсам;
• применяйте двухфакторную аутентификацию там, где это возможно, например для защиты привилегированных учетных записей.

3. Не допускайте использования простых паролей:

• применяйте парольную политику, предусматривающую строгие требования к минимальной длине и сложности паролей;
• ограничьте срок использования паролей (не более 90 дней);
• смените стандартные пароли на новые, удовлетворяющие строгой парольной политике.

4. Контролируйте безопасность систем:

• своевременно обновляйте используемое ПО по мере выхода патчей;
• проверяйте и повышайте осведомленность сотрудников в вопросах информационной безопасности;
• контролируйте появление небезопасных ресурсов на периметре сети; регулярно проводите инвентаризацию ресурсов, доступных для подключения из интернета; анализируйте защищенность таких ресурсов и устраняйте уязвимости в используемом ПО; хорошей практикой является постоянный мониторинг публикаций о новых уязвимостях: это позволяет оперативно выявлять такие уязвимости в ресурсах компании и своевременно их устранять;
• эффективно фильтруйте трафик для минимизации доступных внешнему злоумышленнику интерфейсов сетевых служб; особое внимание стоит уделять интерфейсам удаленного управления серверами и сетевым оборудованием;
• регулярно проводите тестирование на проникновение для своевременного выявления новых векторов атак на внутреннюю инфраструктуру и оценки эффективности принятых мер по защите;
• регулярно проводите анализ защищенности веб-приложений, включая анализ исходного кода, с целью выявления и устранения уязвимостей, позволяющих проводить атаки, в том числе на клиентов приложения;
• отслеживайте количество запросов к ресурсам в секунду, настройте конфигурацию серверов и сетевых устройств таким образом, чтобы нейтрализовать типичные сценарии атаки (например, TCP- и UDP-флуд или множественные запросы к БД).