Генеральный директор компании «Инфософт», экс-председатель совета директоров группы компаний «Армада» Алексей Викторович Кузовкин поделился опытом выявления кибератак и способами защиты от них. Эксперт определил основные цели проникновения в информационную систему компании и нарушения ее работы. Это кража данных для последующего корыстного использования, а также намеренное уничтожение репутации конкретного бренда или организации.
Чтобы вовремя обнаруживать и пресекать кибератаки, нужно знать, какие формы они могут иметь. Злоумышленники зачастую используют фишинг или DOS-атаки, либо захват данных через загрузку вредоносных программ и другие.
Наличие системы обнаружения вторжений (IDS – Intrusion Detection System) – один из эффективных способов выявления кибератак. С помощью IDS можно зафиксировать проникновение хакеров в инфраструктуру и создать оповещение безопасности. Инструменты мониторинга сети позволят увидеть подозрительную активность в виде DNS-запросов, попыток получения доступа к ограниченным ресурсам, необычных адресов или всплесков трафика. Благодаря анализу журналов систем и приложений тоже можно заметить подозрительную активность – в них отмечаются сведения о неуспешных попытках аутентификации, изменениях в системных конфигурациях и т.д.
Возможность изучить кибератаки и разработать эффективную схему защиты дадут инструменты аналитики пользовательской активности для анализа модели поведения юзеров в сети и системах для выявления аномалий, а также анализ угроз в виде сбора данных о потенциальных угрозах, процесса обработки и оценки собранных сведений.
Для защиты от кибератак важно предпринимать различные меры. Например, необходимо поддерживать актуальность операционной системы, антивирусов и приложений, регулярно обновляя программное обеспечение. Нужно проводить сканирование сети на наличие уязвимостей для выявления любых проблемных зон. Внедрение систем обнаружения и предотвращения вторжений, использование IPS для мониторинга сети также поможет защитить компьютерные системы и сети.
Алгоритмы Rate Limiter следует использовать на постоянной основе – при подборе паролей и проведении DDoS-атаки они создадут хакерам серьезные проблемы. Обнаружить неудачные попытки входа в систему, несанкционированные изменения конфигураций и максимально быстро приступить к устранению угроз после полной проверки сети поможет анализ сетевых журналов. Изолирование скомпрометированного участка в момент атаки тоже действует эффективно – можно перестроить правила на маршрутизирующем оборудовании или отключить сетевой кабель.
Нельзя вскрывать непонятные письма и сообщения, переходить по ссылкам из письма и загружать вложения с неизвестных источников. Эксперт настаивает и на необходимости резервного копирования корпоративных данных, что в случае внедрения в систему программы-вымогателя или кибератаки поможет их восстановить.