SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Каналы утечки информации. Часть 2

Каналы утечки информации. Часть 2
18.03.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

В прошлой статье мы рассказывали про различные каналы утечек информации, разделив их на 2 категории: сетевые и физические. Несмотря на то, что в последние два года утечки с использованием сетей составляют абсолютное большинство (рост с 2021 по 2022 год с 58% до 93% по открытым данным в РФ), мы хотели бы рассказать о других каналах, не вошедших в прошлую часть обзора. Дело в том, что открытые сведения об утечках описывают далеко не все реально произошедшие случаи. Поэтому мы бы хотели рассказать про остальные, даже экзотические каналы утечек чувствительной информации и способы их защиты.

 

Физические подключения не ограничены использованием заражённых флэш-накопителей: источником утечки может стать открытый порт или интерфейс. Если злоумышленник подключит своё устройство к сети компании через физический порт или сотрудник по ошибке использует неподходящий кабель – появится новый канал утечки.

 

Защищаясь от подобных атак, компании могут внедрять политики безопасности физического доступа с периодическим мониторингом портов и подключений (например, используя ITAM), системы видеонаблюдения, пентесты и обучение сотрудников.

 

Хакер может получить доступ к информации и удалённо через слабые пароли. Перебирая их в ручном или автоматическом режиме, злоумышленник может авторизоваться под учётной записью сотрудника с нужными правами. По актуальной статистике, пользователи продолжают использовать простые пароли «123456», «1000000» и «12345zz» и другие, что попросту небезопасно.

 

Мы уже неоднократно рассказывали про основы кибергигиены, часть из правил которой – создание сложных паролей, хранение их в зашифрованном виде и их регулярные обновления. Рекомендуется также использовать различные пароли к каждому аккаунту. Дополнить эту технику можно внедрением MFA решений и мониторингом неуспешных попыток авторизации при помощи решений классов SIEM или UEBA, в то время как SOAR решения позволят проводить активную блокировку УЗ при возникновении инцидента.

 

Ошибкой могут стать и действия системных администраторов, которые оставили стандартный пароль на устройстве, например, Wi-Fi роутере, что позволяет нарушителю, находясь в зоне действия сигнала, получить доступ к панели администратора слабозащищённого устройства.

 

В статьях про выстраивание сетей в компаниях мы уже рассказывали про технологии защиты и центрального администрирования, которые можно использовать для защиты данных.

 

Сотрудник компании может сохранить доступ к внутренним ресурсам даже после увольнения. Обычно это происходит из-за ошибок в бизнес-процессах, связанных с увольнением: учётную запись могут оставить в активном состоянии, сохранив пароль и права по ролевой модели. В таком случае бывший сотрудник может не только прочитать данные, ставшие для него конфиденциальными, но и удалить целые каталоги с файлами.

 

Для профилактики подобных утечек необходимо мониторить подозрительные события при помощи систем класса UEBA, выстраивать правильные процессы с завершением жизненного цикла учётной записи при увольнении при помощи AM и управлять списками доступов, например, с применением IDM.

 

Несанкционированный перехват радиосигналов или электромагнитных импульсов может стать каналом утечки, если злоумышленник будет использовать радиочастотное устройство. Это похоже на перехват телефонного звонка, когда сигнал, который должен был передаваться только между участниками звонка, параллельно отправляется на «прослушку» или полностью перенаправляется (как при переадресации или использовании автоответчика на мобильном телефоне). Для защиты достаточно внедрения шифрования беспроводных сетей, скрытия из общедоступного списка внутренней сети и проведение мониторинга сетевого трафика на предмет наличия аномалий.

 

Злоумышленник может использовать не только радио, но и звуковые волны. Например, применяя средства ИИ, можно расшифровать запись звука от нажатия клавиш при наборе текста. Например, если во время записи пользователь вводит пароль к внутренней системе, а расшифровка попала в руки хакеру – пароль можно считать скомпрометированным. Похожим способом хакеры могут провести ультразвуковую атаку, которая в первую очередь может воздействовать на устройства с голосовыми помощниками (Алиса от Yandex, Assistant от Google, Siri от Apple и др.).

 

Утечки информации возможны и с применением тепловизионного осмотра, как при осмотре квартиры в новостройке, только вместо утечки тепла через окна и стыки злоумышленник может отслеживать «горячие» клавиши на банкомате при наборе пин-кода карты, пароль от входа в здание или графический ключ для разблокировки смартфона.

 

Утечки информации могут быть вызваны техническими ошибками. Например, уязвимость в исходном коде может обеспечить несанкционированный доступ к данным злоумышленнику. Если программист совершил ошибку, специальные решения по анализу исходного кода (статический и динамический сканеры) позволят провести аудит кода, тестирование на проникновение, поиск и устранение ошибок.

 

Некорректно настроенный веб-сервер может также обеспечить доступ к базе данных. Например, если разработчик допустил ошибку при программировании веб-приложения, открывая уязвимость для SQL-инъекции – её можно закрыть аудитом исходного кода или с применением WAF.

 

Классический файрвол также может пропускать трафик из внешней сети внутрь, что приводит к утечкам данных, поэтому важно проводить аудит настроек безопасности в NGFW, использовать принцип «необходимый доступ» или «Zero trust» (в зависимости от выбранного подхода).

 

Угроза утечки может проявить себя при обновлении ПО и ОС из недоверенных источников, а также при установке нелигитимных программ. Защититься от подобных утечек можно при помощи продуктов класса AM, обеспечивающих мониторинг «белых списков» и установку обновлений из внутренних и проверенных репозиториев.

 

Завершая обзор различных каналов утечек информации, мы хотим сфокусироваться на важном факте – утечки могут быть спровоцированы не только злоумышленниками, но и совершены случайно, без умысла правонарушения и хищения важных данных. Поэтому специализированные средства защиты применяются уже в 30-40% коммерческих компаний.

 

Утечки данных могут быть вызваны и действиями внутренних сотрудников. Коллеги, обмениваясь файлами, могут нарушить политику защиты коммерческой тайны при передаче внутри компании, а также при передаче за периметр. Защиту могут обеспечить не только DLP решения, но и определение чёткой ролевой модели доступа к данным, проведение регулярного аудита прав и мониторинга трафика внутри периметра и на его границах.

 

Другие утечки вызваны действиями поставщиков и партнёров. Внешний контрагент компании с доступом к данным может подвергаться атакам хакеров снаружи или случайным ошибкам так же, как и внутренние сотрудники защищаемой компании.

 

Напоминаем про важность оценки и учёта различных аспектов безопасности в зависимости от специфики организации и потенциальных угроз! Управление киберрисками и качественное моделирование угроз могут стать хорошей основой для обеспечения безопасности.

СЗИ ИБ для начинающих UEBA Оргмеры ИБ SOAR Подкасты ИБ

Рекомендуем

«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Отчеты нового поколения
Отчеты нового поколения
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Модель зрелости SOAR
Модель зрелости SOAR
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5

Рекомендуем

«Фишки» Security Vision: выгрузка данных
«Фишки» Security Vision: выгрузка данных
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Отчеты нового поколения
Отчеты нового поколения
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Модель зрелости SOAR
Модель зрелости SOAR
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5

Похожие статьи

Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Модель зрелости SOAR
Модель зрелости SOAR
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»

Похожие статьи

Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
Управление рисками информационной безопасности. Часть 4. Стандарт NIST SP 800-30
ChatGPT в ИБ - на темной и светлой стороне
ChatGPT в ИБ - на темной и светлой стороне
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Модель зрелости SOAR
Модель зрелости SOAR
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Зачем и как отображать информацию: конструктор объектов
Зачем и как отображать информацию: конструктор объектов
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»