SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кейлоггер для кибербезопасности и оптимизации

Кейлоггер для кибербезопасности и оптимизации
10.04.2023

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Кейлоггер (keylogger) - это средство для получения информации о нажатии клавиш клавиатуры, которое может использоваться внутри разных продуктов ИТ, ИБ, устройств и даже вредоносного ПО. В текущей статье мы разберем возможности сервиса и его применение для решения разных задач.


Применение сервиса в первую очередь развивалось шпионами и злоумышленниками для фиксации действий пользователей. Когда пользователь ищет что-то в интернете, работает с файлами и вводит пароли, он использует различные средства ввода: джойстик, мышь, клавиатуру, сенсорный экран. При этом система фиксирует нажатые клавиши и выполняет соответствующие действия: перемещает аватар в видеоигре и метавселенной, выводит текст на экран, открывает меню и запускает программы. Злоумышленники могут использовать эти данные для получения доступа к сервисам, защищённым паролем, поэтому для защиты важно использовать антивирусы и EDR-системы, которые могут обнаружить и остановить подозрительную активность.


Однако сам по себе кейлоггер как инструмент не несёт вреда и может помочь родителям в контроле детей, компаниям в расследовании инцидентов ИБ или управлении доступом подрядчиков к чувствительным сервисам для повышения безопасности. Ниже мы разберем классические задачи и решения, применяющие клавиатурный перехват.


Действия кейлоггера можно сравнить с работой секретарей на судебных заседаниях, которые тщательно протоколируют все сказанное и произошедшее в зале, для хранения и публикации в соответствии с законом. С точки зрения аудитов и ИТ кейлоггер применяется в системах классов PAM (Privileged Access Management), которые используются для безопасного доступа к базам данных и важным сервисам компании. Система позволяет фиксировать вводимые ИТ-специалистами команды, управляющие данными в сервисах, а также проводить аудит, если что-то в результате работы пошло не так.


ИБ-системы классов UAM (User Activity Monitoring), которые мы уже разбирали ранее, также применяют кейлоггер для задач кибербезопасности: машинное обучение позволяет снимать «клавиатурный почерк» сотрудника, определяя кто использует корпоративный ПК или ноутбук без запуска веб-камеры или системы видеонаблюдения и СКУД в офисе. По скорости набора текста, опечаткам и частым словам/фразам кейлоггер позволяет достаточно точно определить, если вместо нужного пользователя на компьютере авторизовался злоумышленник.


Системы защиты конфиденциальных данных, такие как DLP (Data Loss Prevention), также часто собирают данные, передаваемые в сети интернет и иногда мессенджерах (стоит отметить, что легитимное применение таких средств возможно только на корпоративных устройствах и с получением согласия пользователя, поскольку вмешательство в частную жизнь может привести к штрафам). Поскольку некоторые каналы передачи информации технически невозможно защитить (мессенджеры с шифрованием, проприетарные протоколы в браузерах), кейлоггер позволяет оценить наличие конфиденциальных сведений в тексте ещё до шифрования и поэтому может использоваться для проведения расследований инцидентов. Для безопасности самих пользователей такие системы обычно не сохраняют все сведения и могут формировать инциденты, удаляя сам текст, но позволяя вовремя отреагировать на возможную утечку базы данных клиентов или передачу персональных данных за пределы компании.


Опечатки и другие ошибки при наборе текста – естественное явление, которое, с одной стороны, позволяет определить сотрудника и защитить его устройство, но также может мешать и разряжать. Каждый из нас скорее всего печатал текст на другой раскладке (Ghbdtn! Rfr ltkf&) или просто делал опечатки. Клавиатурный перехват позволяет автоматически обнаружить подобные неудобства и даже автоматически исправить ошибку. Кейлоггер в таких программах, как Punto Switcher, позволяет упростить обычным людям жизнь, но может использоваться злоумышленниками, поэтому для собственной безопасности стоит задуматься о балансе между удобством и возможными последствиями. Помимо клавиатуры современные средства позволяют взаимодействовать и с буфером обмена при копировании и вставке текста, а также осуществлять автозамену, подставляя вместо коротких комбинаций и символов целые слова и фразы. Такой подход можно сравнить с трафаретами и лекалами, которые используются в инженерной графике и начертательной геометрии или граффитистами, которые применяют повторяющиеся элементы в своём творчестве.


Различные сервисы могут использовать искусственный интеллект для подсказок пользователю: в современных мобильных устройствах клавиатуры обычно собирают статистику и предлагают умные варианты для продолжения текста, подходящие эмодзи, которые позволяют быстрее формулировать мысли. Развитые подсказки появились в любимых бизнесом устройствах blackberry, которые всегда славились своими клавиатурам. А после начали применяться и в других продуктах: в зависимости от стиля письма и персональных словарей пользователей перехват текущего вводимого текста позволяет предугадать слова, которые могут пригодиться для продолжения текста. Чем больше пользователь печатает, тем качественнее клавиатура предлагает новые слова, поэтому кейлоггер может ускорить общение. Используется он не только в мобильных устройствах, но и, например в браузерах и поисковиках в интернете. Современные электронные словари и переводчики также применяют кейлоггер для быстрого вывода результата: ещё до того, как слово или фраза набраны целиком. В итоге получаются сервисы, которые чем-то похожи на навигаторы в картах: определяя текущее местоположение по GPS, направление взгляда и финальную точку маршрута, системы могут помочь быстрее найти себя в городских джунглях и дойти до цели. Только вместо координат в спутниковых системах ГЛОНАСС или Starlink, кейлоггер использует статистику нажатых на клавиатуре клавиш.

DLP СЗИ UEBA Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют