Раньше казалось, что если заблокировать доступ к вредоносным сайтам — проблему можно решить. Добавил пару IP в чёрный список, поставил антивирус с актуальными сигнатурами, включил категорийную фильтрацию в прокси — и вроде бы всё под контролем. Но это уже давно не так. Модель угроз изменилась, и подход к защите должен меняться вместе с ней.
Сегодня домены с вредоносным контентом живут несколько часов, а иногда даже меньше. Их создают автоматически, они мгновенно появляются, используются и исчезают. Злоумышленники не полагаются на долгоживущие сайты, они используют CDN, легитимные облачные хостинги, Telegram, Discord и прочие популярные каналы. А вредоносный код — это не обязательно EXE-файл, скачанный с подозрительного сайта. Это может быть макрос в офисном документе, скрипт в PDF, команда PowerShell, которая выполняется прямо в памяти.
Часто вредонос прячется внутри легитимного ресурса. Или наоборот — вредонос не делает ничего подозрительного сразу. Он ждёт подходящего момента, чтобы активироваться. А в это время классическая фильтрация считает его «чистым», потому что он ещё не светился в репутационных базах. Именно поэтому просто блокировать URL — недостаточно. Этот подход стал устаревшим, если он не дополнен другими мерами.
Сейчас безопасность строится как система: endpoint-защита, которая смотрит за поведением, а не только за файлами. NGFW с контекстной фильтрацией. DNS-фильтрация, основанная на данных threat intelligence, которые обновляются в реальном времени. Анализ аномалий через SIEM и UEBA. Расшифровка HTTPS-трафика в точках контроля. Сегментирование сети, чтобы остановить боковое перемещение. И, конечно, работа с людьми, потому что фишинг и социальная инженерия по-прежнему в топе угроз.
Сегодня мы должны защищаться не от сайтов, а от сценариев. От подозрительных цепочек действий. От поведения, которое выбивается из нормы. Безусловно, блокировка вредоносных ресурсов остаётся элементом защиты. Но теперь это лишь винтик в большой машине. И если эту машину не построить — никакая база вредоносных доменов не спасёт.
Добавить комментарий