Поскольку нарушения попадают в заголовки газет почти еженедельно, проблемы кибербезопасности, с которыми мы сталкиваемся, становятся заметными не только крупным предприятиям, которые годами наращивали возможности обеспечения безопасности, но и малому и среднему бизнесу и широкой общественности. Несмотря на то, что это повышает осведомленность малых предприятий о необходимости улучшения своей системы безопасности, малые и средние предприятия часто сталкиваются с пробелом на рынке, не имея возможности найти инструменты обеспечения безопасности, которые были бы просты для них в использовании и которые они могли бы себе позволить.
Когда мы рассматриваем потребности малого и среднего бизнеса, нам нужно сосредоточиться как на развитии системы анализа угроз, которая необходима для понимания и идентификации угроз, с которыми мы сталкиваемся, так и на инструментах, используемых для обеспечения защиты. Компания NTTSH накопила более чем 20-летний опыт в исследованиях и курировании системы анализа угроз, а также в разработке возможностей и продуктов, которые используют ее систему анализа угроз для защиты клиентов. После многих лет сосредоточения внимания на крупных предприятиях NTTSH переходит к демократизации кибербезопасности и предоставлению малым предприятиям защиты, в которой они нуждаются.
Миссия GTIC заключается в защите клиентов путем предоставления передовых исследований угроз и аналитических данных по безопасности, позволяющих NTTSH предотвращать, обнаруживать киберугрозы и реагировать на них. Чтобы обеспечить поистине уникальное преимущество в продуктах и услугах NTTSH, GTIC использует собственные интеллектуальные возможности и позицию NTT как оператора одной из 5 ведущих интернет-магистралей уровня 1 в мире, обеспечивая непревзойденную видимость интернет-телеметрии для получения понимания различных субъектов угроз, инструментов использования и вредоносного ПО, а также тактики, методов и процедур, используемых злоумышленниками. Помимо курирования собственных исследований в области анализа угроз, GTIC также поддерживает отношения с другими ключевыми игроками в этой области, включая Альянс по киберугрозам, Microsoft, CISA и Национальный альянс по кибер-криминалистике и обучению (NCFTA).
Ежегодный отчет о глобальных угрозах (GTIR) NTTSH дает представление о работе, проделанной GTIC, предоставляя краткий обзор ключевых проблем в сфере безопасности, с которыми сталкиваются организации всех размеров, вместе с полезной информацией, помогающей организациям лучше адаптироваться к меняющемуся ландшафту угроз. В обновлении GTIR за третий квартал 2023 года особое внимание было уделено ключевым отраслевым вертикалям, что позволило получить представление об угрозах, с которыми они сталкиваются.
Рисунок 1: Местонахождение жертв программы-вымогателя в секторе здравоохранения.
Аналогичная географическая тенденция наблюдается в телекоммуникационном секторе, где на США, Великобританию и Австралию приходится примерно 52% атак программ-вымогателей, в то время как в сфере образования на США, Великобританию и Канаду приходится примерно 83%.
Во всех основных секторах Lockbit 3.0 остается самым распространенным вредоносным ПО-вымогателям. Однако некоторые злоумышленники-вымогатели сосредотачиваются на конкретных секторах, таких как банда вымогателей Bl00dy, которая конкретно нацелена на образование.
Рисунок 2: Ведущие программы-вымогатели в телекоммуникационном секторе
С моделью совместной ответственности за облачные сервисы крупные предприятия знакомы уже некоторое время. Однако небольшие организации все еще осваивают эту модель. Что касается SaaS, это означает, что, хотя поставщик облачных услуг несет ответственность за приложение, предприятия малого и среднего бизнеса все еще приспосабливаются к тому факту, что они сохраняют ответственность за свои данные и, что особенно важно, управляют своими учетными записями и идентификационными данными. В результате субъекты угроз сосредотачиваются на способах компрометации личных данных, особенно с использованием таких методов, как вброс учетных данных и фишинг.
По мере расширения зоны атаки даже небольших компаний растет и количество источников оповещения о безопасности. Это не единственная проблема: субъекты угроз часто не ограничивают свою деятельность одной частью вашего технологического комплекса. Они могут начинаться в одной области, например, путем компрометации одной или нескольких конечных точек (таких как ноутбуки), а затем использовать собранную ими информацию (такую как учетные данные) для дальнейшего продвижения, например, для компрометации приложения SaaS. В то время как крупные предприятия потратили последние 10 или более лет на создание специализированных команд SecOps и сложных цепочек инструментов безопасности, малому и среднему бизнесу не хватает ресурсов для такого рода инвестиций.
Рисунок 3: Панель управления Samurai XDR Alerts
Панель управления оповещениями объединяет оповещения обо всех технологиях, используемых организацией, в единое приоритетное представление с акцентом на предоставление интуитивно понятного интерфейса, которым может пользоваться большинство ИТ-сотрудников, а не только специалисты-аналитики по безопасности.
Как только пользователь решает, что предупреждение требует дальнейшего расследования, представление Расследований предоставляет аналогичный простой и интуитивно понятный интерфейс для управления жизненным циклом расследования потенциального инцидента безопасности.
После обработки событий и оповещений они сохраняются в хранилище данных Samurai XDR. Озеро данных предоставляет пользователям возможность запрашивать и анализировать все события, внесенные в Samurai XDR, начиная с одного полного года. Это позволяет запрашивать исторические данные за целый год для таких целей, как поиск угроз, позволяя пользователям Samurai XDR выполнять подробный анализ исторических событий на предмет любых признаков угроз, которые могли сохраняться в течение более длительных периодов времени. Выполнение запросов к событиям в озере данных стало возможным благодаря расширенной функции запросов Samurai XDR, которая позволяет пользователям выполнять поиск в озере данных как графически, так и с использованием языка запросов Kusto от Microsoft (KQL).
Samurai XDR также придерживается простой модели ценообразования, основанной исключительно на количестве конечных точек, имеющихся у клиента, что устраняет необходимость пытаться оценить объемы данных телеметрии, которые будут поступать на платформу. Стандартная цена для 50 и более конечных точек составляет всего 3,33 доллара за конечную точку в месяц, а для небольших клиентов предлагается стартовый пакет до 25 конечных точек по цене 750 долларов в год.
Чтобы упростить опробование Samurai XDR, NTTSH предоставляет всем новым клиентам бесплатную 30-дневную пробную версию, позволяющую пользоваться всеми его функциональными возможностями без каких-либо обязательств, предоставляя даже самым маленьким компаниям малого и среднего бизнеса безрисковый путь к созданию передовых возможностей SecOps.
Когда мы рассматриваем потребности малого и среднего бизнеса, нам нужно сосредоточиться как на развитии системы анализа угроз, которая необходима для понимания и идентификации угроз, с которыми мы сталкиваемся, так и на инструментах, используемых для обеспечения защиты. Компания NTTSH накопила более чем 20-летний опыт в исследованиях и курировании системы анализа угроз, а также в разработке возможностей и продуктов, которые используют ее систему анализа угроз для защиты клиентов. После многих лет сосредоточения внимания на крупных предприятиях NTTSH переходит к демократизации кибербезопасности и предоставлению малым предприятиям защиты, в которой они нуждаются.
Центр глобальной разведки угроз
Все усилия NTTSH опираются на возможности ее Глобального центра анализа угроз (GTIC). Усилия GTIC выходят за рамки чисто исследовательской организации, поскольку они проводят исследования угроз и сочетают их с запатентованной NTTSH детективной технологией для получения прикладной информации об угрозах.Миссия GTIC заключается в защите клиентов путем предоставления передовых исследований угроз и аналитических данных по безопасности, позволяющих NTTSH предотвращать, обнаруживать киберугрозы и реагировать на них. Чтобы обеспечить поистине уникальное преимущество в продуктах и услугах NTTSH, GTIC использует собственные интеллектуальные возможности и позицию NTT как оператора одной из 5 ведущих интернет-магистралей уровня 1 в мире, обеспечивая непревзойденную видимость интернет-телеметрии для получения понимания различных субъектов угроз, инструментов использования и вредоносного ПО, а также тактики, методов и процедур, используемых злоумышленниками. Помимо курирования собственных исследований в области анализа угроз, GTIC также поддерживает отношения с другими ключевыми игроками в этой области, включая Альянс по киберугрозам, Microsoft, CISA и Национальный альянс по кибер-криминалистике и обучению (NCFTA).
Ежегодный отчет о глобальных угрозах (GTIR) NTTSH дает представление о работе, проделанной GTIC, предоставляя краткий обзор ключевых проблем в сфере безопасности, с которыми сталкиваются организации всех размеров, вместе с полезной информацией, помогающей организациям лучше адаптироваться к меняющемуся ландшафту угроз. В обновлении GTIR за третий квартал 2023 года особое внимание было уделено ключевым отраслевым вертикалям, что позволило получить представление об угрозах, с которыми они сталкиваются.
Фокус угроз по секторам
Сектор здравоохранения сталкивается с уникальным набором проблем не только из-за высокой ценности информации, которой владеют поставщики медицинских услуг, но и в результате резкого роста внедрения технологий в здравоохранении в условиях, когда многие поставщики, особенно небольшие, недостаточно осведомлены о кибербезопасности, а также не располагают ресурсами для развертывания и поддержания тех видов контроля, которыми пользуются крупные предприятия. Программы-вымогатели по-прежнему представляют особую проблему. Оказывается, что утечки программ-вымогателей в сфере здравоохранения особенно сконцентрированы в нескольких географических регионах, причем на США, Австралию и Великобританию приходится почти 80% этих нарушений.
Рисунок 1: Местонахождение жертв программы-вымогателя в секторе здравоохранения.
Аналогичная географическая тенденция наблюдается в телекоммуникационном секторе, где на США, Великобританию и Австралию приходится примерно 52% атак программ-вымогателей, в то время как в сфере образования на США, Великобританию и Канаду приходится примерно 83%.
Во всех основных секторах Lockbit 3.0 остается самым распространенным вредоносным ПО-вымогателям. Однако некоторые злоумышленники-вымогатели сосредотачиваются на конкретных секторах, таких как банда вымогателей Bl00dy, которая конкретно нацелена на образование.
Рисунок 2: Ведущие программы-вымогатели в телекоммуникационном секторе
Проблемы безопасности SaaS
В последнее время GTIC уделяла особое внимание тому, каким образом быстро ускоряющееся внедрение SaaS создает свой собственный набор проблем. SaaS быстро становится неотъемлемой частью повседневной деятельности как малого, так и крупного бизнеса, при этом ежегодный рост, как ожидается, сохранится на уровне, близком к 2027 году. В этом контексте важно отметить, что, согласно Gartner, ожидается, что 99% нарушений облачной безопасности происходят по вине заказчика.С моделью совместной ответственности за облачные сервисы крупные предприятия знакомы уже некоторое время. Однако небольшие организации все еще осваивают эту модель. Что касается SaaS, это означает, что, хотя поставщик облачных услуг несет ответственность за приложение, предприятия малого и среднего бизнеса все еще приспосабливаются к тому факту, что они сохраняют ответственность за свои данные и, что особенно важно, управляют своими учетными записями и идентификационными данными. В результате субъекты угроз сосредотачиваются на способах компрометации личных данных, особенно с использованием таких методов, как вброс учетных данных и фишинг.
Решение проблем гибридных информационных технологий
Если раньше предприятия малого и среднего бизнеса могли полагаться на антивирусное программное обеспечение и брандмауэры для защиты технологических активов в своих помещениях, то сейчас большинство из них перешли в мир гибридных ИТ, поскольку все больше полагаются на облачные сервисы. Хотя средства контроля безопасности, предоставляемые большинством облачных сервисов, хороши, предприятия малого и среднего бизнеса сталкиваются с целым рядом проблем при использовании доступных им функций безопасности.По мере расширения зоны атаки даже небольших компаний растет и количество источников оповещения о безопасности. Это не единственная проблема: субъекты угроз часто не ограничивают свою деятельность одной частью вашего технологического комплекса. Они могут начинаться в одной области, например, путем компрометации одной или нескольких конечных точек (таких как ноутбуки), а затем использовать собранную ими информацию (такую как учетные данные) для дальнейшего продвижения, например, для компрометации приложения SaaS. В то время как крупные предприятия потратили последние 10 или более лет на создание специализированных команд SecOps и сложных цепочек инструментов безопасности, малому и среднему бизнесу не хватает ресурсов для такого рода инвестиций.
Демократизация операций по обеспечению безопасности с помощью XDR
Что нужно малым и средним предприятиям, так это возможность объединить оповещения из всей своей ИТ-инфраструктуры и приложений в единый инструмент, который может анализировать всю телеметрию организации, применять информацию об угрозах, а затем предоставлять простой интерфейс, который действует как единое окно для управления оповещениями, проведения расследований и реагирования на угрозы. Именно здесь XDR предлагает решение, которое объединяет ключевые компоненты традиционной цепочки инструментов SecOps в едином облачном приложении, которое может быть доставлено по доступной цене. Это вторая ключевая область, в которой NTTSH обратила свое внимание на малый и средний бизнес, сосредоточив разработку своего продукта Samurai XDR на потребностях и бюджетах малого и среднего бизнеса, сохраняя при этом функциональность, к которой привыкли крупные предприятия. В то время как исследования GTIC предоставляют информацию, необходимую для понимания и обнаружения угроз, с которыми сталкиваются современные организации, Samurai XDR делает работу GTIC доступной и действенной даже для организаций, которым не хватает выделенных ресурсов SecOps. Важно помнить, что, хотя анализ угроз необходим для обнаружения угроз, каждой организации нужны инструменты для его применения.Краткое путешествие по Samurai XDR
С самого начала Samurai XDR был разработан таким образом, чтобы быть простым в использовании и, что наиболее важно, доступным для всего ИТ-персонала, а не только для аналитиков безопасности. Отправной точкой всех рабочих процессов в Samurai XDR является панель управления оповещениями. Именно здесь система представляет оповещения системы безопасности, приоритетность которых определяется степенью серьезности и достоверности.
Рисунок 3: Панель управления Samurai XDR Alerts
Панель управления оповещениями объединяет оповещения обо всех технологиях, используемых организацией, в единое приоритетное представление с акцентом на предоставление интуитивно понятного интерфейса, которым может пользоваться большинство ИТ-сотрудников, а не только специалисты-аналитики по безопасности.
Как только пользователь решает, что предупреждение требует дальнейшего расследования, представление Расследований предоставляет аналогичный простой и интуитивно понятный интерфейс для управления жизненным циклом расследования потенциального инцидента безопасности.
После обработки событий и оповещений они сохраняются в хранилище данных Samurai XDR. Озеро данных предоставляет пользователям возможность запрашивать и анализировать все события, внесенные в Samurai XDR, начиная с одного полного года. Это позволяет запрашивать исторические данные за целый год для таких целей, как поиск угроз, позволяя пользователям Samurai XDR выполнять подробный анализ исторических событий на предмет любых признаков угроз, которые могли сохраняться в течение более длительных периодов времени. Выполнение запросов к событиям в озере данных стало возможным благодаря расширенной функции запросов Samurai XDR, которая позволяет пользователям выполнять поиск в озере данных как графически, так и с использованием языка запросов Kusto от Microsoft (KQL).
Интеграции
Интеграции предоставляют механизм для передачи телеметрии (например, журналов регистрации) из вашей ИТ-инфраструктуры и приложений в Samurai XDR. NTTSH сосредоточилась на объединении правильного сочетания возможностей для приема телеметрии как из локальной инфраструктуры, так и из облачных сервисов, отражая гибридную ИТ-среду, которая сегодня стала типичной даже для большинства малых и средних предприятий. Некоторые примеры доступных в настоящее время интеграций включают:- Облако: Azure Management Plane и Microsoft 365 (скоро), Google Workspace (скоро)
- Обнаружение конечных точек и реагирование на них: Microsoft Defender для Endpoint, VMware Carbon Black и Crowdstrike Falcon Insight
- Брандмауэры следующего поколения: Cisco Secure Firewall (ASA и Firepower Threat Defense), Fortinet Fortigate и Palo Alto Networks NGFW.
Упрощаем задачу
Ключевым направлением деятельности NTTSH при разработке Samurai XDR было обеспечение простоты в использовании и доступности. Например, настройка интеграций поддерживается простыми рабочими процессами "наведи и щелкни". Для инфраструктуры, предоставляющей журналы через системный журнал, все, что необходимо, это указать источник журнала на защищенный сборщик системного журнала Samurai XDR, и Samurai XDR выполнит работу по обнаружению типа устройства, отправляющего журналы. Естественно, то же самое касается облачных интеграций. Samurai XDR сводит этапы к минимуму и проводит пользователя через интерактивные шаги и доступ к статьям базы знаний.Samurai XDR также придерживается простой модели ценообразования, основанной исключительно на количестве конечных точек, имеющихся у клиента, что устраняет необходимость пытаться оценить объемы данных телеметрии, которые будут поступать на платформу. Стандартная цена для 50 и более конечных точек составляет всего 3,33 доллара за конечную точку в месяц, а для небольших клиентов предлагается стартовый пакет до 25 конечных точек по цене 750 долларов в год.
Чтобы упростить опробование Samurai XDR, NTTSH предоставляет всем новым клиентам бесплатную 30-дневную пробную версию, позволяющую пользоваться всеми его функциональными возможностями без каких-либо обязательств, предоставляя даже самым маленьким компаниям малого и среднего бизнеса безрисковый путь к созданию передовых возможностей SecOps.
