Что такое кибербезопасность касперский

Обновлено: 15.01.2025

Все мы знаем истории, когда вирусы парализовывали работу огромных компаний. Итог - большие финансовые потери, урон репутации. «Лаборатория Касперского» разработала свой многоступенчатый подход к организации защиты с помощью широкой линейки своих продуктов. Далее я более подробно расскажу об этом подходе и покажу пример установки и настройки одного из базовых продуктов кибербезопасности - Kaspersky EDR Optimum.

Комплексный подход к безопасности

Информационной безопасности сейчас необходимо уделять максимум внимания, с этим нельзя не согласиться. Число атак на бизнес постоянно растет. Когда я начинал свою деятельность в системном администрировании, наиболее страшные вирусы просто выводили из строя операционные системы. Это создавало проблемы, но не критичные. Как правило, систему можно было оперативно восстановить. В других атаках злоумышленники воровали пароли и рассылали зловредные письма, используя украденные учетные данные от почтовых серверов.

Я сам лично наблюдал последствия атак шифровальщиков. У меня цикл статей на сайте есть по этой теме, вынесенный в отдельный раздел. Когда тебя зашифровали, поздно что-то делать. Так что на первое место выходит предотвращение атак всеми доступными способами. И это не просто установка антивируса на рабочие станции. Сейчас приходится более детально разбираться в этом вопросе и использовать комплекс защитных мер.

Для удобного подбора комплексной защиты «Лаборатория Касперского» сгруппировала все свои продукты кибербезопасности в 3 уровня для того, чтобы вы смогли подобрать себе линейку продуктов под свои задачи и ресурсы.

3 уровня защиты от «Лаборатории Касперского»

Как я уже сказал, «Лаборатория Касперского» представила ступенчатый подход к кибербезопасности. В его рамках все корпоративные продукты, технологии и сервисы разделены на три уровня. Необходимый конкретной компании уровень защиты зависит от размера организации и степени зрелости её службы информационной безопасности.

Kaspersky Security Foundations. Этот уровень обеспечивает базовую защиту от широкого спектра угроз для компаний любого размера. Продукты из этого уровня могут быть установлены и настроены, даже если у вас нет IT отдела и постоянных сотрудников в нём. . Продукты этого уровня дают расширенные инструменты противодействия угрозам. Вы можете не только защищаться от атак, но и проводить расследование инцидентов. А также использовать накопленную информацию об атаках на вашу инфраструктуру для их предотвращения, даже если это совершенно новый вирус. Данный уровень приложений будет актуален для компаний, где есть IT отдел, в том числе люди, которые занимаются именно безопасностью.
Kaspersky Expert Security. Самый продвинутый уровень защиты для организации экосистемы средств обеспечения безопасности. Данный уровень ориентирован на корпорации и крупные промышленные предприятия, где есть отдел IT-безопасности.

Далее я рассмотрю продукты уровня Kaspersky Optimum Security и покажу на конкретном примере, как их устанавливать и использовать.

Kaspersky Optimum Security

Данный уровень защиты состоит из следующих компонентов:

. Это расширение функционала Kaspersky Endpoint Security, который устанавливается в качестве антивируса на рабочие станции. С его помощью можно будет не только предотвращать угрозы, но и расследовать инциденты, анализировать первопричины заражений, автоматически формировать защиту на основе уже полученных данных, строить отчеты и многое другое. Ниже я буду устанавливать и настраивать этот продукт. . Сервис с круглосуточной автоматической защитой на основе моделей машинного обучения и аналитических данных об угрозах и расследований атак, подготовленных специалистами компании Kaspersky. На основе событий безопасности в вашей системе могут быть запущены те или иные сценарии противодействия угрозам. То есть это система, которая автоматически реагирует на инциденты без вашего участия. . Готовый продукт для организации песочницы, который интегрируется в существующую инфраструктуру защиты для дополнительных возможностей проверки и ограничения работы подозрительных приложений. . Портал с базой данных опасных приложений, сайтов, IP-адресов, всего того, что связано с угрозами. Платформа позволяет проверять подозрительные файлы, хеши файлов, IP-адреса или веб-адреса на наличие связанных с ними киберугроз для дальнейшего своевременного реагирования на них. . Онлайн-платформа, с помощью которой можно повышать осведомленность сотрудников любых отделов, даже ИТ-персонала, в вопросах информационной безопасности. Включает в себя интерактивные уроки, тесты, повторение пройденного, в том числе закрепление знаний на примере симулированных фишинговых атак.

Далее я покажу, как установить и настроить базу для построения защиты уровня Optimum Security с помощью Kaspersky EDR для бизнеса Оптимальный.

Установка Kaspersky EDR для бизнеса Оптимальный

Kaspersky EDR Оптимальный устанавливается поверх существующей инфраструктуры Kaspersky на базе Kaspersky Security Center + Kaspersky Endpoint Security. Сначала нужно установить сервер администрирования Kaspersky SC (KSC), затем на рабочие станции развернуть антивирус Kaspersky ES (KES).

В процессе установки сервера управления, вам будет предложено установить одну из бесплатных баз данных mssql express или mysql. Если у вас уже есть один из этих серверов, можно воспользоваться им.

В целом, в установке Kaspersky Security Center нет каких-то сложностей, так что я не буду на этом останавливаться. У продукта хорошая документация на русском языке, так что можно без проблем разобраться. Но я все установил и без инструкции. После установки заходить в консоль управления можно под учетной записью администратора компьютера, под которым выполнялась установка.

Дальнейшая логика установки EDR следующая. Если вы ранее работали с Security Center, то особых проблем у вас не возникнет. Я несколько лет управлял системой безопасности на базе Kaspersky, причем не в одной организации. Хотя это было несколько лет назад, логика работы продукта осталась примерно такой же, только интерфейс поменялся. Так что я быстро во всём разобрался.

Сначала вам надо загрузить установочные пакеты для дистрибутива клиентского антивируса - Kaspersky Endpoint Security. Делается это в разделе Обнаружение устройств и развертывание -> Развертывание и назначение -> Инсталляционные пакеты.

Затем в разделе Параметры консоли -> Веб-плагины установить два плагина - для Kaspersky Endpoint Agent и Kaspersky Endpoint Security.

Далее идём в Устройства -> Политики и профили и создаем политику для Kaspersky Endpoint Agent. В разделе Параметры программы -> Интерфейс и управление обязательно выбрать Endpoint Detection and Response Optimum.

В завершении развертывания необходимо создать три задачи:

Перед развертыванием KES необходимо добавить компонент Endpoint Agent (или Endpoint Sensor) в свойствах установочного пакета KES в KSC.
Задача для удаленной установки дистрибутива KES.
Задача по распространению лицензионного ключа с лицензией на Kaspersky Endpoint Detection and Response Optimum.

Продукт активно развивается, так что какие-то пункты из данной инструкции могут поменяться. Но общая логика установки, думаю, такой же и останется. Теперь можно переходить к тестированию возможностей KES с лицензией EDR Optimum.

Имитация заражения и противодействие с помощью EDR

Давайте посмотрим, как на практике реализуется защита с помощью установленных ранее компонентов. Для теста я запустил на защищенной рабочей станции образец вируса. Локальный антивирус заблокировал его работу. Перемещаемся в KSC и смотрим информацию об инциденте.

Идём в раздел Мониторинг и отчёты -> Отчёты, открываем Отчёт об угрозах. Переходим на вкладку Подробнее.

Мы видим общую информацию о событии. Далее мы можем посмотреть подробности инцидента в отдельной карточке. Перемещаемся туда.

Здесь наглядно со всеми подробностями представлена информация, связанная с событием. Я скачал вирус в запароленном архиве через браузер. Распаковал его и запустил. Сверху показана цепочка процессов, связанных с запуском вируса. Сначала это был системный процесс svchost.exe, потом скачанная программа sw_test.exe и в конце сам запущенный вирус yhtbz.exe.

Через карточку инцидента вы можете изолировать устройство от сети, чтобы далее спокойно разобраться в произошедшем событии, не опасаясь, что прямо сейчас будет распространяться заражение.

Вы наглядно можете проследить за всеми действиями вируса. Для этого нужно выбирать соответствующие разделы под информацией о вирусе и смотреть внесенные им изменения.

какие файлы создавал вирус;
откуда и кем он был запущен;
к каким ip-адресам он обращался;
что изменил в реестре.

Наглядно всё это можно посмотреть в отдельной вкладке - Все события инцидента.

На основе данных из карточки вы сможете сразу же проверить файл по его хэшу на Kaspersky Threat Intelligence Portal и получить подробную аналитику. Также с помощью информации о файле вируса можно создать задачу по поиску этого файла на других машинах и настроить какое-то действие, если этот файл будет найден. Например, изолировать хост от сети или удалить файл и поместить на карантин.

Смотрите, какая получается картина. Вы видите не только конечный файл с вирусом, который был запущен в директории temp, но и источник заражения - исходный файл, который антивирусом не детектился, так как не проявлял никаких явно вредоносных активностей, но именно он являлся источником заражения. На основе функционала, представленного Kaspersky EDR Оптимальный, вы видите полную картину происходящего. С помощью информации в карточке инцидента у вас есть возможность сразу же изолировать заражённый хост, посмотреть аналитику по исходному файлу, запускающему вирус. Затем заблокировать на всех компьютерах запуск исходного файла по представленному хэшу, определить ip адреса, к которым обращается вирус и заблокировать их на шлюзе.

Когда атака будет локализована и остановлена, сможете спокойно посмотреть все изменения, что делал вирус, и откатить их на пострадавших системах. Таким образом реализуется часть комплексного подхода к защите. Не только блокировка вируса, но и полная аналитика по нему и превентивная защита.

Более наглядно посмотреть все возможности Kaspersky EDR Optimum вы можете в видео:

Функционал очень крутой. Я лично ничего подобного ранее не видел. Расследования после вирусных атак приходилось проводить вручную, выискивая следы в системе и используя поисковики, чтобы находить подробности.

Заключение

Я рассказал, как организован подход «Лаборатории Касперского» к обеспечению комплексной защиты, а также наглядно показал, как он реализуется на практике на примере использования Kaspersky EDR для бизнеса Оптимальный. В целом мне нравятся защитные продукты этого бренда. Я постоянно использую их на почтовых серверах Linux в качестве антиспама и антивируса.

В офисах мне приходилось использовать 3 современных антивируса - от «Лаборатории Касперского» и других известных антивирусных производителей. Лично мне бренд Kaspersky и его Security Center нравится больше всего. Но нужно учитывать, что он в сумме и стоит немного дороже. Хотя линейки продуктов, как и функционал, у всех разные, и в лоб не всегда получится адекватно сравнить цены. Тут уже каждый сам выбирает, на чем остановиться исходя из задач и бюджета.

C помощью эксперта «Лаборатории Касперского» разбираемся, какой набор инструментов должен иметь в своем арсенале современный специалист по ИБ. От каких угроз и с помощью каких технологий надо защищаться. Говорим о тенденциях в сфере ИБ, о механизмах работы некоторых продуктов «Лаборатории Касперского» и немного заглядываем в будущее.

Сегодня массовые атаки и различные «выбросы» в сеть уже воспринимаются как нечто обыденное, а купить вредонос в DarkNet или заказать DDOS можно недорого и без особых проблем. Как итог — появляются примеры, как школьники, заплатив небольшие деньги, «дидосят» электронный дневник.

С другой стороны, киберпреступники стали более избирательными и всесторонне исследуют цель, прежде чем целенаправленно атаковать ее.

У «Лаборатории Касперского» есть статистика: с 1986 по 2016 годы было разработано около 1 млн зловредов. За последние два года ситуация изменилась: еженедельно в базах фиксируется 2 млн новых зловредов массового поражения, которые выбрасываются в сеть.

Какие же инструменты приходят на помощь специалистам по безопасности, когда вариант «лучшая защита — это нападение» не уместен?

Капитанская вещь, но: для защиты рабочей станции как минимум необходимо использовать всем давно знакомый антивирус. Впрочем, благодаря политике Microsoft, он сейчас есть на каждой машине с Windows. В пик роста кибератак и удивительной находчивости хакеров многие считают, что антивирус работает лишь как плацебо: поставил его на машину и спи себе спокойно.

Ну а если какая-то зловреда таки просочится через такую «лжезащиту», восстановим машину из бэкапа у хороших админов он же всегда есть , поругаем создателя антивируса, еще пару дней плохого настроения от воспоминаний, и все проблемы уйдут. Правда, бывают случаи, когда зараженная машина наносит заметный ущерб коммерческой деятельности.

На сегодняшний момент классический антивирус, который сигнатурно проверяет файлы, действительно не эффективен. Злоумышленники стали активнее и умнее. Поэтому для защиты рабочих станций нужно использовать продукт, совмещающий в себе как классический антивирус, так и разнообразные варианты поиска вредоноса, например, по поведению.

Не стоит забывать о таких важных вещах, как мониторинг уязвимости в программах на всех машинах предприятия, антивирусные проверки файлов в оперативной памяти и на флешках, проверку почтового и веб-трафика.

Кроме того, очень полезна централизованная консоль управления, где можно мониторить все машины компании, видеть угрозы, вести статистику и выполнять задачи удаленного администрирования. Она просто необходима для распределенных организаций. У многих компаний есть соответствующие решения. В той же «Лаборатории Касперского» оно называется Kaspersky Endpoint Security для бизнеса.

Многие организации переводят свои мощности на виртуальные машины. В данном случае виртуальную среду тоже необходимо как-то защищать. Можно, конечно, поставить защиту на каждую такую машину, но так как обычно виртуалкам выделяется мало ресурсов, то хорошо бы строить защиту виртуальный среды с отдельной виртуальной машины. Выделенная машина обрабатывает все данные, а на рабочие виртуалки устанавливаться только агент, который не дает большой нагрузки.

Можно также использовать агентское решение, доступное только для VMware. В этом случае агент не устанавливается на виртуальную машину, а осуществляет защиту и проверяет машины на наличие угроз через гипервизор. Именно такая схема реализована в том же Kaspersky Security для виртуальных и облачных сред.

Все большую популярность набирают гибридные инфраструктуры: когда часть серверов в облаке и часть на земле. Для построения такой инфраструктуры можно использовать Microsoft Azure. Что касается защиты, то у «Лаборатории Касперского» есть подходящее решение — Kaspersky Cloud Security.

Я тучка, тучка, тучка, я вовсе не 0LzQtdC00LLQtdC00Yw=

Шифрование — важная часть информационной безопасности. Сотрудники компании для мобильности часто используют ноутбуки, которые можно потерять и легко украсть. Поэтому для защиты конфиденциальных данных необходимо шифровать не только конечные устройства, но и дисковое пространство, а также почтовый и веб-трафик, каналы связи. Для шифрования трафика можно использовать продукты от Cisco, OpenVPN, VipNet, Континента. У «Лаборатории Касперского» на этот случай есть Kaspersky Secure Mail Gateway, который помимо защитных функций (антивирус/антиспам/антифишинг), позволяет шифровать почтовый трафик и принимать только шифрованный трафик с валидным сертификатом.

Если злоумышленник пробрался во внутрь сети и на 443-й повесил ssh, а потом пошел на другую машину и с нее хочет подключится и выполнить вредоносные действия, то у него ничего не выйдет. В случае использования классического firewall — по 443 порту можно делать все, что хотите. В качестве open source варианта для создания firewall можно рассмотреть pfSense, который, кроме основных функций, предоставляет возможности по маршрутизации и балансировке трафика.

DDOS — штука неприятная. К тому же если конкуренты решили вывести ваш сайт из строя в самое неподходящее время, то атака может вылиться в большие потери.

Есть второй вариант работы, когда «Лаборатория Касперского», через средства мониторинга, контролирует назревающую DDoS-атаку и сообщает о ней заказчику, а заказчик принимает решение прогонять свой трафик в данный момент через центры очистки или нет.

В принципе, все названные выше решения позволяют защититься от 99% вредоносов, но всегда остается 1%, не значащийся в сигнатурных базах и созданный для одной конкретной атаки, которая может нанести большой ущерб. В той же «Лаборатории Касперского» разработали Kaspersky Anti Target Attack Platform. Это решение принимает на себя SPAN-трафик, который подается сетевому оборудованию, почтовый трафик, трафик с рабочих мест. Внутри платформы установлен антивирусный движок, который проверяет весь этот трафик и выдает антивирусные детекты. SPAN-трафик, в свою очередь, компонентом IDS проверяется на наличие аномалий в сетевом трафике.

Еще один компонент платформы — песочница — изолированная среда, в которой запускаются файлы и анализируется их поведение.

Если в песочницу попадает вирус, то он обычно скачивает свои дополнительные модули с командного центра, а платформа, проанализировав его поведение и сетевые взаимодействия, признает его вредоносным.

Кибербезопасность (ее иногда называют компьютерной безопасностью) – это совокупность методов и практик защиты от атак злоумышленников для компьютеров, серверов, мобильных устройств, электронных систем, сетей и данных. Кибербезопасность находит применение в самых разных областях, от бизнес-сферы до мобильных технологий. В этом направлении можно выделить несколько основных категорий.

Безопасность сетей– действия по защите компьютерных сетей от различных угроз, например целевых атак или вредоносных программ.
Безопасность приложений– защита устройств от угроз, которые преступники могут спрятать в программах. Зараженное приложение может открыть злоумышленнику доступ к данным, которые оно должно защищать. Безопасность приложения обеспечивается еще на стадии разработки, задолго до его появления в открытых источниках.
Безопасность информации– обеспечение целостности и приватности данных как во время хранения, так и при передаче.
Операционная безопасность– обращение с информационными активами и их защита. К этой категории относится, например, управление разрешениями для доступа к сети или правилами, которые определяют, где и каким образом данные могут храниться и передаваться.
Аварийное восстановление и непрерывность бизнеса – реагирование на инцидент безопасности (действия злоумышленников) и любое другое событие, которое может нарушить работу систем или привести к потере данных. Аварийное восстановление – набор правил, описывающих то, как организация будет бороться с последствиями атаки и восстанавливать рабочие процессы. Непрерывность бизнеса – план действий на случай, если организация теряет доступ к определенным ресурсам из-за атаки злоумышленников.
Повышение осведомленности– обучение пользователей. Это направление помогает снизить влияние самого непредсказуемого фактора в области кибербезопасности – человеческого. Даже самая защищенная система может подвергнуться атаке из-за чьей-то ошибки или незнания. Поэтому каждая организация должна проводить тренинги для сотрудников и рассказывать им о главных правилах: например, что не нужно открывать подозрительные вложения в электронной почте или подключать сомнительные USB-устройства.

Масштаб распространения киберугроз

Год за годом в мире становится все больше угроз и происходит все больше утечек данных. Статистика шокирует: согласно отчету RiskBased Security, только за первые девять месяцев 2019 года было зафиксировано 7,9 миллиардов случаев утечки данных. Эти цифры превышают показатели за тот же период 2018 года более чем в два раза (на 112 %).

Чаще всего утечке данных подвергаются медицинские и государственные учреждения или организации из сферы розничной торговли. В большинстве случаев причина – действия преступников. Некоторые организации привлекают злоумышленников по понятной причине – у них можно украсть финансовые и медицинские данные. Однако мишенью может стать любая компания, ведь преступники могут охотиться за данными клиентов, шпионить или готовить атаку на одного из клиентов.

Компания International Data Corporation прогнозирует, что если количество киберугроз будет расти и дальше, то объем расходов на решения в области кибербезопасности к 2022 году достигнет 133,7 миллиардов долларов США. Правительства разных стран борются с преступниками, помогая организациям внедрять эффективные методы кибербезопасности.

Так, Национальный институт стандартов и технологий США (National Institute of Standards and Technology, NIST) разработал принципы безопасной IT-инфраструктуры. NIST рекомендуют проводить постоянный мониторинг всех электронных ресурсов в реальном времени, чтобы выявить вредоносный код, пока он не нанес вреда, и предотвратить его распространение.

Национальный центр кибербезопасности (National Cyber Security Centre) правительства Великобритании выпустил руководство 10 steps to cyber security (10 шагов к кибербезопасности). В нем говорится о том, насколько важно вести наблюдение за работой систем. В Австралии рекомендации по борьбе с новейшими киберугрозами регулярно публикует Австралийский центр кибербезопасности (Australian Cyber Security Centre, ACSC).

Виды киберугроз

Кибербезопасность борется с тремя видами угроз.

Киберпреступление– действия, организованные одним или несколькими злоумышленниками с целью атаковать систему, чтобы нарушить ее работу или извлечь финансовую выгоду.

Кибератака – действия, нацеленные на сбор информации, в основном политического характера.

Кибертерроризм – действия, направленные на дестабилизацию электронных систем с целью вызвать страх или панику.

Как злоумышленникам удается получить контроль над компьютерными системами? Они используют различные инструменты и приемы – ниже мы приводим самые распространенные.

Вредоносное ПО

Название говорит само за себя. Программное обеспечение, которое наносит вред, – самый распространенный инструмент киберпреступников. Они создают его сами, чтобы с его помощью повредить компьютер пользователя и данные на нем или вывести его из строя. Вредоносное ПО часто распространяется под видом безобидных файлов или почтовых вложений. Киберпреступники используют его, чтобы заработать или провести атаку по политическим мотивам.

Вредоносное ПО может быть самым разным, вот некоторые распространенные виды:

Вирусы – программы, которые заражают файлы вредоносным кодом. Чтобы распространяться внутри системы компьютера, они копируют сами себя.
Троянцы– вредоносы, которые прячутся под маской легального ПО. Киберпреступники обманом вынуждают пользователей загрузить троянца на свой компьютер, а потом собирают данные или повреждают их.
Шпионское ПО – программы, которые втайне следят за действиями пользователя и собирают информацию (к примеру, данные кредитных карт). Затем киберпреступники могут использовать ее в своих целях.
Программы-вымогатели шифруют файлы и данные. Затем преступники требуют выкуп за восстановление, утверждая, что иначе пользователь потеряет данные.
Рекламное ПО – программы рекламного характера, с помощью которых может распространяться вредоносное ПО.
Ботнеты – сети компьютеров, зараженных вредоносным ПО, которые киберпреступники используют в своих целях.

SQL-инъекция

Этот вид кибератак используется для кражи информации из баз данных. Киберпреступники используют уязвимости в приложениях, управляемых данными, чтобы распространить вредоносный код на языке управления базами данных (SQL).

Фишинг

Фишинг – атаки, цель которых – обманом заполучить конфиденциальную информацию пользователя (например, данные банковских карт или пароли). Часто в ходе таких атак преступники отправляют жертвам электронные письма, представляясь официальной организацией.

Атаки Man-in-the-Middle («человек посередине»)

Это атака, в ходе которой киберпреступник перехватывает данные во время их передачи – он как бы становится промежуточным звеном в цепи, и жертвы об этом даже не подозревают. Вы можете подвергнуться такой атаке, если, например, подключитесь к незащищенной сети Wi-Fi.

DoS-атаки (атаки типа «отказ в обслуживании»)

Киберпреступники создают избыточную нагрузку на сети и серверы объекта атаки, из-за чего система прекращает нормально работать и ею становится невозможно пользоваться. Так злоумышленники, например, могут повредить важные компоненты инфраструктуры и саботировать деятельность организации.

Новейшие киберугрозы

С какими из новейших киберугроз сталкиваются пользователи и организации? Рассмотрим некоторые из тех, что попали в отчеты правительств Великобритании, США и Австралии.

Троянец Dridex

В декабре 2019 года Министерство юстиции США обвинило лидера группы киберпреступников в участии в атаке с использованием зловреда Dridex. Эта кампания затронула общественные, правительственные и деловые структуры по всему миру.

Dridex – банковский троянец с широким набором возможностей, который появился в 2014 году. Он проникает на компьютеры жертв с помощью фишинговых писем и вредоносных программ. Dridex может красть пароли, данные банковских карт и личную информацию пользователей, которые затем используют мошенники. Размер причиненного им финансового ущерба исчисляется сотнями миллионов.

Чтобы защититься, Национальный центр кибербезопасности Великобритании рекомендует устанавливать на устройства последние обновления безопасности и антивирусное ПО свежих версий, а также регулярно выполнять резервное копирование файлов.

Мошенничество на сайтах и в приложениях для знакомств

В феврале 2020 года ФБР предупредило граждан США о случаях мошенничества на сайтах знакомств, а также в чатах и приложениях. Эксплуатируя стремление найти партнера, киберпреступники выманивают у жертв личную информацию.

Как следует из отчета ФБР, в 2019 году жертвами таких киберугроз стали 114 жителей штата Нью-Мексико, их финансовые потери составили около 1,6 миллиона долларов США.

Emotet

В конце 2019 года Австралийский центр кибербезопасности предупредил организации о распространении киберугрозы под названием Emotet.

Emotet – сложно устроенный троянец, способный похищать данные, а также загружать вредоносное ПО на устройства. Его жертвами часто становились те, кто использовал простые пароли – это в очередной раз напомнило пользователям, что нужно использовать более сложные комбинации.

Защита конечных пользователей

Поговорим о еще одном важном аспекте кибербезопасности – защите конечных пользователей и их устройств (тех, кто использует программу или систему). Часто именно конечный пользователь случайно загружает вредоносную программу на компьютер, ноутбук или смартфон.

Как инструменты кибербезопасности (защитные программы) помогают защитить конечных пользователей и их устройства? В защитных средствах используются криптографические протоколы, которые позволяют шифровать электронную почту, файлы и другие важные данные. Этот механизм не дает киберпреступникам украсть и перехватить данные или получить к ним доступ.

Решения, защищающие конечных пользователей, проверяют их устройства на наличие вредоносного кода, помещают вредоносов на карантин и затем удаляют их из системы. Такие программы могут найти и удалить вредоносный код, спрятанный в основной загрузочной записи (MBR), а также умеют шифровать или полностью стирать информацию на жестком диске.

Защитные средства обнаруживают вредоносные программы в режиме реального времени, многие из них применяют эвристический и поведенческий анализ – следят за действиями вредоноса и его кода. Это помогает бороться с полиморфным и метаморфным вредоносным ПО – вирусами и троянцами, которые могут менять свою структуру. Защитные инструменты умеют изолировать потенциально вредоносное ПО в специальной виртуальной среде (подальше от сети пользователя), чтобы затем проанализировать его поведение и научиться лучше распознавать новые источники угроз.

Профессионалы в области кибербезопасности ищут и анализируют новые угрозы, а затем разрабатывают способы борьбы с ними. Важно научить сотрудников правильно пользоваться защитным ПО. Чтобы защитные средства эффективно выполняли свои функции, они всегда должны быть во включенном состоянии и постоянно обновляться.

Как защититься от атак: полезные советы по кибербезопасности

Предлагаем вам советы о том, как оградить компанию и ее сотрудников от киберугроз.

Kaspersky Industrial CyberSecurity for Nodes – это средство комплексной защиты серверов и рабочих станций в промышленных системах управления от информационных угроз.

Программа контролирует работу компьютеров индустриальной сети предприятия с помощью следующих компонентов, функций и технологий:

Контроль запуска программ . Компонент отслеживает попытки запуска программ пользователями и регулирует запуск программ.
Контроль устройств . Компонент позволяет контролировать регистрацию и использование внешних устройств в целях защиты компьютера от угроз безопасности, которые могут возникнуть во время файлового обмена с подключаемым по USB флеш-накопителем или внешним устройством другого типа.
Проверка целостности проектов ПЛК . Функция предназначена для проверки целостности проектов программируемых логических контроллеров (ПЛК), используемых в индустриальной сети.

Работа компонентов контроля основана на правилах:

Контроль запуска программ использует правила контроля запуска программ.
Контроль устройств использует правила доступа к устройствам и правила доступа к шинам подключения.
Функция проверки целостности проектов ПЛК использует правила проверки целостности проектов ПЛК.

Каждый тип угроз обрабатывается отдельным компонентом. Можно включать и выключать компоненты независимо друг от друга, а также настраивать параметры их работы.

Программа проверяет и защищает компьютеры индустриальной сети с помощью следующих компонентов:

Файловый Антивирус . Компонент позволяет избежать заражения файловой системы компьютера. Компонент запускается при старте Kaspersky Industrial CyberSecurity for Nodes, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы на компьютере и на всех присоединенных дисках. Файловый Антивирус перехватывает каждое обращение к файлу и проверяет этот файл на присутствие вирусов и других программ, представляющих угрозу.
Контроль Wi-Fi . Компонент отслеживает попытки подключения защищаемого компьютера к сетям Wi-Fi и блокирует или разрешает подключения к обнаруженным сетям.
Управление сетевым экраном . Этот компонент обеспечивает возможность управления брандмауэром Windows: позволяет настраивать параметры и правила сетевого экрана операционной системы и блокирует любую возможность настройки параметров сетевого экрана извне.
Защита от шифрования . Компонент позволяет обнаруживать активность вредоносного шифрования сетевых файловых ресурсов защищаемого компьютера со стороны удаленных компьютеров корпоративной сети.
Мониторинг файловых операций . Kaspersky Industrial CyberSecurity for Nodes обнаруживает изменения в файлах из области мониторинга, указанной в параметрах задачи. Эти изменения указывают на нарушение безопасности на защищаемом компьютере.
Анализ журналов . Компонент выполняет контроль целостности защищаемой среды на основе результатов анализа журналов событий Windows.

В дополнение к постоянной защите, реализуемой компонентами программы, рекомендуется периодически выполнять проверку компьютера на присутствие вирусов и других программ, представляющих угрозу. Это нужно делать для того, чтобы исключить возможность распространения вредоносных программ, которые не были обнаружены компонентами, например, из-за установленного низкого уровня защиты или по другим причинам.

Чтобы поддерживать Kaspersky Industrial CyberSecurity for Nodes в актуальном состоянии, требуется обновление баз и модулей программы, используемых в работе программы. По умолчанию программа обновляется автоматически, но при необходимости вы можете вручную обновить базы и модули программы.

Для защиты компьютеров используются следующие задачи:

Полная проверка . Kaspersky Industrial CyberSecurity for Nodes выполняет тщательную проверку операционной системы, включая системную память, объекты, загружаемые при старте операционной системы, резервное хранилище операционной системы, а также все жесткие и съемные диски.
Выборочная проверка . Kaspersky Industrial CyberSecurity for Nodes проверяет объекты, выбранные пользователем.
Проверка важных областей . Kaspersky Industrial CyberSecurity for Nodes проверяет объекты, загрузка которых осуществляется при запуске операционной системы, системную память и объекты, которые могут быть заражены руткитами.
Обновление . Kaspersky Industrial CyberSecurity for Nodes загружает обновленные базы и модули программы. Обновление обеспечивает актуальность защиты компьютера от вирусов и других программ, представляющих угрозу.

Удаленное управление через Kaspersky Security Center

Программа Kaspersky Security Center позволяет удаленно запускать и останавливать Kaspersky Industrial CyberSecurity for Nodes на клиентском компьютере, управлять задачами и настраивать параметры работы программы.

Служебные функции программы

Kaspersky Industrial CyberSecurity for Nodes включает ряд служебных функций. Служебные функции предусмотрены для поддержки программы в актуальном состоянии, расширения возможностей использования программы и оказания помощи в работе.

Тема всемирного COVID-локдауна закономерно стала лейтмотивом конференции.
Эксперты обсуждали влияние пандемии на ландшафт киберугроз в промышленности, с готовностью делились опытом изменения тактики развития предприятий в связи с переходом работников на дистанционную работу, представляли планы и программы по развитию промышленной кибербезопасности в условиях новой реальности.

Об особенностях этой новой реальности в своем приветственном обращении к гостям ярко и метафорично высказался глава Лаборатория Касперского Е. Касперский: Когда мне говорят, что трубопрокатный завод теперь вставляет чипы в каждую трубу, я начинаю понимать, что мы живем уже в совершенно другое время, где вопросы кибербезопасности это как кислород, который не обсуждается. Обсуждается лишь качество этого кислорода и его количество.

Насыщать деятельность пользователей-промышленников кислородом Лаборатория Касперского намерена путем внедрения свежих решений.
На текущий момент можно выделить следующие основные направления: развитие функционала KICS for Networks, в который добавится управление уязвимостями, анализ зашифрованных коммуникаций, а также возможность масштабирования и эргономики; встроенная безопасность: развитие решение на базе Kaspersky OS; централизованное управление, благодаря современным технологиям систематизации и управления большими инфраструктурами ИБ.
В частности, в своей презентации руководитель департамента развития новых продуктов Г. Шебулдаев обратил внимание на то, что компания предлагает новые возможности пассивного выявления уязвимостей найденных или заведенных вручную устройств промышленной сети.
Эта опция призвана помочь при оценке рисков, планировании мер повышения уровня защищенности и при оценке их эффективности.

Одной из ключевых в программе конференции стала панельная дискуссия Вызовы и возможности цифровой трансформации в промышленности.
Победы и провалы отрасли, прогнозы на ближайший год с участием Е. Касперского, заместителя министра энергетики России Е. Грабчака, представителя Национального координационного центра по компьютерным инцидентам А. Раевского и директора российского центра ООН по промышленному развитию UNIDO С. Короткова.

Мы осознаем, что такое цифровизация, что такое четвертая промышленная революция, но что дальше с этим делать и какое место государство занимает в этих процессах, к сожалению, пока общего понимания нет ни внутри государства, ни с бизнесом. (Е. Грабчак)
Проверки, которые мы проводим по оценке защищенности, показывают, что не до конца еще руководители, пользователи понимают вопросы информационной безопасности, не до конца осознают проблемы, которые могут возникнуть в результате невыполнения требований внутренних документов, инструкций и документов регуляторов. <> Проблема еще в том, что образование, которое дается в нашей сфере, отстает от того, что придумывают злоумышленники. (А. Раевский)
Развития без безопасности не будет. Сейчас, когда в каждое производство внедряются чипы и новые цифровые технологии, очень важно обеспечить работу без каких-либо сбоев, потому что иначе происходит множество экологических катастроф мы сами свидетели этого. (С. Коротков)
До сих пор киберпреступность является бизнесом выгодным и не слишком рискованным. С точки зрения количества атак дальше будет только хуже. Сейчас мы выявляем более 400 тысяч зловредов каждый день. И сколько тысяч рук это делает? Некоторые эти руки и некоторые эти мозги становятся все более опытными и умными. Из них получаются профессиональные киберпреступники, которые готовы хакнуть все, что угодно. Поэтому в ближайшее время мы будем видеть рост не просто киберпреступности, но очень высокопрофессиональной преступности. (Е. Касперский)

Сложность обеспечения защищенности в современных условиях в том числе из-за перевода многих специалистов на удаленный режим работы во время пандемии отметили многие эксперты.
Менеджер по развитию решений по промышленной кибербезопасности Лаборатории Касперского А. Шипулин рассказал, что зачастую это связано с ростом количества участников коммуникаций и появлением множества неучтенных устройств, что приводит к созданию рисков вмешательства в управление технологическим процессом.
При этом эксперт обратил внимание на то, что крайне важно понимать, с чего начинается промышленная кибербезопасность: Большое количество инцидентов приводит к тому, что многие компании начинают заниматься темой промышленной кибербезопасности. Но очень часто они начинают это не сразу, недостаточно зная, что же они имеют. Поэтому первым шагом во многих программах по промышленной безопасности является инвентаризация активов. Правильная инвентаризация активов позволяет, в том числе, увидеть проблемные устройства и вовремя устранить их недостатки.

Немало слов на конференции прозвучало и в адрес устаревающих инструментов автоматизации промышленности например, специализированного программного обеспечения класса SCADA (Supervisory Control And Data Acquisition) для диспетчерского управления и сбора данных.
Генеральный директор НПО АПРОТЕХ А. Суворов отметил главный недостаток этой системы, проведя аналогию с краником, в который сливается очень много полезных данных.
По его словам, материалы Давосского форума, аналитиков и собственных проектов компании свидетельствуют о том, что сегодня предприятия не используют до 90% промышленных данных.
Именно это может создавать благоприятные условия для возникновения большого количества киберрисков.

Архитектор центров информационной безопасности Лаборатории Касперского П. Таратынов в свою очередь рассказал о недостатках SIEM-систем, служащих для анализа информации и выявления вредоносной активности: Решения проектировались 10-летие назад, когда IT-инфраструктура была совершенно другой, объемы данных были абсолютно другими. К этому классу решений накопились определенные претензии. Во-первых, они не справляются по производительности, по скорости работы с текущими объемами. Во-вторых, можно отметить сложность внедрения, эксплуатации, требования к высокой квалификации экспертов, которые обслуживают систему, а также стоимость владения не только с точки зрения лицензии, но и с точки зрения экспертов, которых нужно нанять, и оборудования, которое необходимо для обеспечения обработки больших данных.
В качестве более современной альтернативы Лаборатория Касперского предлагает продукт Kaspersky Unified Monitoring and Analysis Platform (KUMA) для мониторинга, анализа и реагирования на инциденты модульную платформу, спроектированную для современных высоконагруженных и динамичных ИТ-сред.
В зависимости от потребностей заказчика, в состав системы могут входить те или иные функциональные модули.
Платформа будет играть роль центрального компонента в экосистеме Лаборатории Касперского.

Определение данных модулей может зависеть от самых разных факторов.
Не последнюю роль играет и такой, как принадлежность к определенной отрасли промышленности.
Важно отметить, что нефтегазовая отрасль, например, в настоящее время уже активно пользуется многочисленными решениями Лаборатории Касперского.

кибербезопасность безопасность защищаемого объекта, системы которого функционируют в условиях деструктивных информационных воздействий;
кибербезопасность действия, необходимые для предотвращения неавторизованного использования, отказа в обслуживании, преобразования, рассекречивания, потери прибыли, или повреждения критических систем или информационных систем. (ГОСТ Р 56205-2014 IEC/TS 62443-1-1:2009).

Обсуждалось и множество других насущных вопросов: как преодолеть глобальный дефицит компетенций промышленной безопасности, как подготовить инфраструктуру к защите АСУ ТП (автоматизированная система управления технологическим процессом), какую роль играет доверие в Интернете вещей, возможен ли аутсорсинг информационной безопасности и т. д.
Конференция в очередной раз дала участникам пищу для размышлений, стимулы для дальнейшего роста, ответы на многие вопросы и, конечно же, более четкое понимание того, как в ближайшем будущем будет развиваться, цифровизироваться и информационно защищаться промышленная отрасль.

Читайте также: