Учитывая, что эффективные, продолжительные и масштабируемые кибератаки требуют высокого уровня планирования и разработки, наиболее вероятным является сценарий, при котором используются существующие методы, такие как атаки с целью получения выкупа и атаки типа «отказ в обслуживании». Однако нельзя исключить возможность атак типа «Спящий агент» (Sleeper Agent), при которых вредоносный код помещается в ключевые системы в «мирное время» и активируются дистанционно во время кризиса.

Вопрос в том, как подготовиться к любому из подобных происшествий. Скорее всего, цели такой атаки будут варьироваться от правительственных объектов до крупных коммерческих организаций и критической инфраструктуры. Конечно, компании сталкиваются с уже знакомыми угрозами каждый день, поэтому любые действия, предпринимаемые для ее устранения, уже должны быть частью любой стратегии по обеспечению безопасности.

Существуют шесть основных шагов, которые должна предпринять организация, чтобы подготовиться к любой кибератаке и защитить свои цифровые активы:

  • сегментируйте свою сеть. Критические активы должны быть разделены по хорошо защищенным доменам. Кроме того, важно использовать сегментацию на основе целей, чтобы гарантировать, что устройства, активы и данные, которые постоянно перемещаются в сети и из нее, динамически распределяются по соответствующим сегментам, определенным внутренней политикой сети. Последняя гарантирует, что сбой в одном домене не станет катастрофическим в случае распространения на другие области;
  • наладить и поддерживать резервные варианты связи. Поддержание открытых коммуникаций с распределенными элементами вашей сети имеет важное значение. Традиционные модели WAN очень уязвимы к таким вещам, как DDoS-атаки. С другой стороны, возможности безопасной работы в сети SD-WAN позволяют организациям динамически изменять пути обмена данными в зависимости от различных факторов, включая доступность;
  • защитите критические данные. Учитывая высокий уровень атак с целью получения выкупа, каждая организация должна регулярно создавать резервные копии критических данных и хранить их в автономном (офлайн) режиме. Эти файлы также должны регулярно проверяться на наличие встроенных вредоносных программ. Кроме того, организациям следует периодически проводить учения для обеспечения возможности быстрого переноса резервных копий данных в критически важные системы и устройства, с тем чтобы сеть могла вернуться в нормальное состояние как можно быстрее;
  • интегрируйте и автоматизируйте. Подход, заключающийся в интеграции устройств в единую платформу безопасности, гарантирует, что все части системы смогут обмениваться и сопоставлять данные об угрозах, а также беспрепятственно становиться неотъемлемой частью любого скоординированного реагирования на угрозу. Кроме того, функции обнаружения и реагирования на конечных точках (Endpoint Detection & Response — EDR) и автоматического оркестрирования и реагирования системы безопасности (Security Orchestration Automation & Response — SOAR) обеспечивают возможность быстрого обнаружения, управления и автоматического реагирования на атаку;
  • проверьте средства электронной связи. Электронная почта остается наиболее распространенным вектором атаки для заражения устройств и систем вредоносным ПО. В дополнение к интенсивному обучению конечных пользователей методам обнаружения фишинговых атак и реагирования на них, защищенные почтовые шлюзы должны быть способны эффективно выявлять и проверять подозрительные вредоносные вложения в электронную почту в безопасной среде, например в песочнице. Аналогичным образом, межсетевые экраны следующего поколения (NGFW) должны быть развернуты внутри периметра сети для проверки внутренних зашифрованных коммуникаций на предмет обнаружения вредоносного ПО и скрытых командно-контрольных имплантатов;
  • подпишитесь на каналы, содержащие информацию об угрозах: Подписка на ряд каналов, содержащих информацию об угрозах, собранную от разных источников, наряду с принадлежностью к региональным или отраслевым ISAC позволяет вам быть в курсе актуальных векторов атак и новых вредоносных программ. Используя эти данные и внедряя их в интегрированную платформу безопасности, организации могут выделять индикаторы угроз — сигнатуры вредоносных программ, которые с наибольшей вероятностью повлияют на вашу сеть и отрасль. Таким образом, можно не только заблокировать их при обнаружении, но, в первую очередь, предотвратить их проникновение в вашу сеть.

Чтобы эффективно защититься от направленной кибератаки, все должны работать сообща, как команда, чтобы вовремя предотвратить и обнаружить угрозу, правильно отреагировать на нее. Это включает в себя все и вся, начиная с возможностей национальной обороны страны и заканчивая местными консорциумами предприятий и отраслей промышленности, сообществами поставщиков решений по обеспечению кибербезопасности, таких как Cyber Threat Alliance. Это необходимо сочетать с эффективной стратегией реагирования, которая задействует критически важных членов команды для защиты ресурсов, быстрого восстановления после атаки с использованием резервных копий данных и изолированных ресурсов, а также привлечения поддержки таких учреждений, как ФСБ.