SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканирование информационных активов с обогащением из любых внешних сервисов (дополнительных сканеров, БДУ и других аналитических баз данных) для анализа защищённости инфраструктуры

SPC
Security Profile Compliance

Оценка конфигураций информационных активов в соответствии с принятыми в организации стандартами безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенс различным методологиям и стандартам нормативно методической документации как для компании в целом, так и по отдельным объектам ресурсно-сервисной модели

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Каналы утечки информации. Часть 2

Каналы утечки информации. Часть 2
18.03.2024

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  



Руслан Рахметов, Security Vision

 

В прошлой статье мы рассказывали про различные каналы утечек информации, разделив их на 2 категории: сетевые и физические. Несмотря на то, что в последние два года утечки с использованием сетей составляют абсолютное большинство (рост с 2021 по 2022 год с 58% до 93% по открытым данным в РФ), мы хотели бы рассказать о других каналах, не вошедших в прошлую часть обзора. Дело в том, что открытые сведения об утечках описывают далеко не все реально произошедшие случаи. Поэтому мы бы хотели рассказать про остальные, даже экзотические каналы утечек чувствительной информации и способы их защиты.

 

Физические подключения не ограничены использованием заражённых флэш-накопителей: источником утечки может стать открытый порт или интерфейс. Если злоумышленник подключит своё устройство к сети компании через физический порт или сотрудник по ошибке использует неподходящий кабель – появится новый канал утечки.

 

Защищаясь от подобных атак, компании могут внедрять политики безопасности физического доступа с периодическим мониторингом портов и подключений (например, используя ITAM), системы видеонаблюдения, пентесты и обучение сотрудников.

 

Хакер может получить доступ к информации и удалённо через слабые пароли. Перебирая их в ручном или автоматическом режиме, злоумышленник может авторизоваться под учётной записью сотрудника с нужными правами. По актуальной статистике, пользователи продолжают использовать простые пароли «123456», «1000000» и «12345zz» и другие, что попросту небезопасно.

 

Мы уже неоднократно рассказывали про основы кибергигиены, часть из правил которой – создание сложных паролей, хранение их в зашифрованном виде и их регулярные обновления. Рекомендуется также использовать различные пароли к каждому аккаунту. Дополнить эту технику можно внедрением MFA решений и мониторингом неуспешных попыток авторизации при помощи решений классов SIEM или UEBA, в то время как SOAR решения позволят проводить активную блокировку УЗ при возникновении инцидента.

 

Ошибкой могут стать и действия системных администраторов, которые оставили стандартный пароль на устройстве, например, Wi-Fi роутере, что позволяет нарушителю, находясь в зоне действия сигнала, получить доступ к панели администратора слабозащищённого устройства.

 

В статьях про выстраивание сетей в компаниях мы уже рассказывали про технологии защиты и центрального администрирования, которые можно использовать для защиты данных.

 

Сотрудник компании может сохранить доступ к внутренним ресурсам даже после увольнения. Обычно это происходит из-за ошибок в бизнес-процессах, связанных с увольнением: учётную запись могут оставить в активном состоянии, сохранив пароль и права по ролевой модели. В таком случае бывший сотрудник может не только прочитать данные, ставшие для него конфиденциальными, но и удалить целые каталоги с файлами.

 

Для профилактики подобных утечек необходимо мониторить подозрительные события при помощи систем класса UEBA, выстраивать правильные процессы с завершением жизненного цикла учётной записи при увольнении при помощи AM и управлять списками доступов, например, с применением IDM.

 

Несанкционированный перехват радиосигналов или электромагнитных импульсов может стать каналом утечки, если злоумышленник будет использовать радиочастотное устройство. Это похоже на перехват телефонного звонка, когда сигнал, который должен был передаваться только между участниками звонка, параллельно отправляется на «прослушку» или полностью перенаправляется (как при переадресации или использовании автоответчика на мобильном телефоне). Для защиты достаточно внедрения шифрования беспроводных сетей, скрытия из общедоступного списка внутренней сети и проведение мониторинга сетевого трафика на предмет наличия аномалий.

 

Злоумышленник может использовать не только радио, но и звуковые волны. Например, применяя средства ИИ, можно расшифровать запись звука от нажатия клавиш при наборе текста. Например, если во время записи пользователь вводит пароль к внутренней системе, а расшифровка попала в руки хакеру – пароль можно считать скомпрометированным. Похожим способом хакеры могут провести ультразвуковую атаку, которая в первую очередь может воздействовать на устройства с голосовыми помощниками (Алиса от Yandex, Assistant от Google, Siri от Apple и др.).

 

Утечки информации возможны и с применением тепловизионного осмотра, как при осмотре квартиры в новостройке, только вместо утечки тепла через окна и стыки злоумышленник может отслеживать «горячие» клавиши на банкомате при наборе пин-кода карты, пароль от входа в здание или графический ключ для разблокировки смартфона.

 

Утечки информации могут быть вызваны техническими ошибками. Например, уязвимость в исходном коде может обеспечить несанкционированный доступ к данным злоумышленнику. Если программист совершил ошибку, специальные решения по анализу исходного кода (статический и динамический сканеры) позволят провести аудит кода, тестирование на проникновение, поиск и устранение ошибок.

 

Некорректно настроенный веб-сервер может также обеспечить доступ к базе данных. Например, если разработчик допустил ошибку при программировании веб-приложения, открывая уязвимость для SQL-инъекции – её можно закрыть аудитом исходного кода или с применением WAF.

 

Классический файрвол также может пропускать трафик из внешней сети внутрь, что приводит к утечкам данных, поэтому важно проводить аудит настроек безопасности в NGFW, использовать принцип «необходимый доступ» или «Zero trust» (в зависимости от выбранного подхода).

 

Угроза утечки может проявить себя при обновлении ПО и ОС из недоверенных источников, а также при установке нелигитимных программ. Защититься от подобных утечек можно при помощи продуктов класса AM, обеспечивающих мониторинг «белых списков» и установку обновлений из внутренних и проверенных репозиториев.

 

Завершая обзор различных каналов утечек информации, мы хотим сфокусироваться на важном факте – утечки могут быть спровоцированы не только злоумышленниками, но и совершены случайно, без умысла правонарушения и хищения важных данных. Поэтому специализированные средства защиты применяются уже в 30-40% коммерческих компаний.

 

Утечки данных могут быть вызваны и действиями внутренних сотрудников. Коллеги, обмениваясь файлами, могут нарушить политику защиты коммерческой тайны при передаче внутри компании, а также при передаче за периметр. Защиту могут обеспечить не только DLP решения, но и определение чёткой ролевой модели доступа к данным, проведение регулярного аудита прав и мониторинга трафика внутри периметра и на его границах.

 

Другие утечки вызваны действиями поставщиков и партнёров. Внешний контрагент компании с доступом к данным может подвергаться атакам хакеров снаружи или случайным ошибкам так же, как и внутренние сотрудники защищаемой компании.

 

Напоминаем про важность оценки и учёта различных аспектов безопасности в зависимости от специфики организации и потенциальных угроз! Управление киберрисками и качественное моделирование угроз могут стать хорошей основой для обеспечения безопасности.

СЗИ ИБ для начинающих UEBA Оргмеры ИБ SOAR Подкасты ИБ

Рекомендуем

Сканер уязвимостей
Сканер уязвимостей
Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Уязвимости
Уязвимости
Динамические плейбуки
Динамические плейбуки

Рекомендуем

Сканер уязвимостей
Сканер уязвимостей
Какие цели злоумышленники задают ВПО
Какие цели злоумышленники задают ВПО
Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Уязвимости
Уязвимости
Динамические плейбуки
Динамические плейбуки

Похожие статьи

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Как устроены вредоносные программы
Как устроены вредоносные программы
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Геймификация и управление персоналом
Геймификация и управление персоналом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Разработка без кода
Разработка без кода
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика

Похожие статьи

Облачные версии решений по информационной безопасности: плюсы и минусы
Облачные версии решений по информационной безопасности: плюсы и минусы
Как устроены вредоносные программы
Как устроены вредоносные программы
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Деловые игры рыцарей круглого стола
Деловые игры рыцарей круглого стола
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Геймификация и управление персоналом
Геймификация и управление персоналом
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Разработка без кода
Разработка без кода
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика
Автоматизация рутинной деятельности с помощью Security Vision SOAR: практика