SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кейлоггер для кибербезопасности и оптимизации

Кейлоггер для кибербезопасности и оптимизации
10.04.2023

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Кейлоггер (keylogger) - это средство для получения информации о нажатии клавиш клавиатуры, которое может использоваться внутри разных продуктов ИТ, ИБ, устройств и даже вредоносного ПО. В текущей статье мы разберем возможности сервиса и его применение для решения разных задач.


Применение сервиса в первую очередь развивалось шпионами и злоумышленниками для фиксации действий пользователей. Когда пользователь ищет что-то в интернете, работает с файлами и вводит пароли, он использует различные средства ввода: джойстик, мышь, клавиатуру, сенсорный экран. При этом система фиксирует нажатые клавиши и выполняет соответствующие действия: перемещает аватар в видеоигре и метавселенной, выводит текст на экран, открывает меню и запускает программы. Злоумышленники могут использовать эти данные для получения доступа к сервисам, защищённым паролем, поэтому для защиты важно использовать антивирусы и EDR-системы, которые могут обнаружить и остановить подозрительную активность.


Однако сам по себе кейлоггер как инструмент не несёт вреда и может помочь родителям в контроле детей, компаниям в расследовании инцидентов ИБ или управлении доступом подрядчиков к чувствительным сервисам для повышения безопасности. Ниже мы разберем классические задачи и решения, применяющие клавиатурный перехват.


Действия кейлоггера можно сравнить с работой секретарей на судебных заседаниях, которые тщательно протоколируют все сказанное и произошедшее в зале, для хранения и публикации в соответствии с законом. С точки зрения аудитов и ИТ кейлоггер применяется в системах классов PAM (Privileged Access Management), которые используются для безопасного доступа к базам данных и важным сервисам компании. Система позволяет фиксировать вводимые ИТ-специалистами команды, управляющие данными в сервисах, а также проводить аудит, если что-то в результате работы пошло не так.


ИБ-системы классов UAM (User Activity Monitoring), которые мы уже разбирали ранее, также применяют кейлоггер для задач кибербезопасности: машинное обучение позволяет снимать «клавиатурный почерк» сотрудника, определяя кто использует корпоративный ПК или ноутбук без запуска веб-камеры или системы видеонаблюдения и СКУД в офисе. По скорости набора текста, опечаткам и частым словам/фразам кейлоггер позволяет достаточно точно определить, если вместо нужного пользователя на компьютере авторизовался злоумышленник.


Системы защиты конфиденциальных данных, такие как DLP (Data Loss Prevention), также часто собирают данные, передаваемые в сети интернет и иногда мессенджерах (стоит отметить, что легитимное применение таких средств возможно только на корпоративных устройствах и с получением согласия пользователя, поскольку вмешательство в частную жизнь может привести к штрафам). Поскольку некоторые каналы передачи информации технически невозможно защитить (мессенджеры с шифрованием, проприетарные протоколы в браузерах), кейлоггер позволяет оценить наличие конфиденциальных сведений в тексте ещё до шифрования и поэтому может использоваться для проведения расследований инцидентов. Для безопасности самих пользователей такие системы обычно не сохраняют все сведения и могут формировать инциденты, удаляя сам текст, но позволяя вовремя отреагировать на возможную утечку базы данных клиентов или передачу персональных данных за пределы компании.


Опечатки и другие ошибки при наборе текста – естественное явление, которое, с одной стороны, позволяет определить сотрудника и защитить его устройство, но также может мешать и разряжать. Каждый из нас скорее всего печатал текст на другой раскладке (Ghbdtn! Rfr ltkf&) или просто делал опечатки. Клавиатурный перехват позволяет автоматически обнаружить подобные неудобства и даже автоматически исправить ошибку. Кейлоггер в таких программах, как Punto Switcher, позволяет упростить обычным людям жизнь, но может использоваться злоумышленниками, поэтому для собственной безопасности стоит задуматься о балансе между удобством и возможными последствиями. Помимо клавиатуры современные средства позволяют взаимодействовать и с буфером обмена при копировании и вставке текста, а также осуществлять автозамену, подставляя вместо коротких комбинаций и символов целые слова и фразы. Такой подход можно сравнить с трафаретами и лекалами, которые используются в инженерной графике и начертательной геометрии или граффитистами, которые применяют повторяющиеся элементы в своём творчестве.


Различные сервисы могут использовать искусственный интеллект для подсказок пользователю: в современных мобильных устройствах клавиатуры обычно собирают статистику и предлагают умные варианты для продолжения текста, подходящие эмодзи, которые позволяют быстрее формулировать мысли. Развитые подсказки появились в любимых бизнесом устройствах blackberry, которые всегда славились своими клавиатурам. А после начали применяться и в других продуктах: в зависимости от стиля письма и персональных словарей пользователей перехват текущего вводимого текста позволяет предугадать слова, которые могут пригодиться для продолжения текста. Чем больше пользователь печатает, тем качественнее клавиатура предлагает новые слова, поэтому кейлоггер может ускорить общение. Используется он не только в мобильных устройствах, но и, например в браузерах и поисковиках в интернете. Современные электронные словари и переводчики также применяют кейлоггер для быстрого вывода результата: ещё до того, как слово или фраза набраны целиком. В итоге получаются сервисы, которые чем-то похожи на навигаторы в картах: определяя текущее местоположение по GPS, направление взгляда и финальную точку маршрута, системы могут помочь быстрее найти себя в городских джунглях и дойти до цели. Только вместо координат в спутниковых системах ГЛОНАСС или Starlink, кейлоггер использует статистику нажатых на клавиатуре клавиш.

DLP СЗИ UEBA Подкасты ИБ

Рекомендуем

Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Сертификация ФСТЭК
Сертификация ФСТЭК
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Динамический анализ исходного кода
Динамический анализ исходного кода
Пентесты
Пентесты
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Статический анализ исходного кода
Статический анализ исходного кода

Рекомендуем

Что такое SGRC? Основные понятия и применение
Что такое SGRC? Основные понятия и применение
Сертификация ФСТЭК
Сертификация ФСТЭК
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Динамический анализ исходного кода
Динамический анализ исходного кода
Пентесты
Пентесты
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Обзор публикации NIST SP 1800-5 "IT Asset Management"
Статический анализ исходного кода
Статический анализ исходного кода

Похожие статьи

Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
SOAR-системы
SOAR-системы
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее

Похожие статьи

Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Обзор публикации NIST SP 800-215 "Guide to a Secure Enterprise Network Landscape"
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
SOAR-системы
SOAR-системы
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Биометрические персональные данные, изменения в регулировании их обработки и влияние на рынок
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №6 «Используйте киберразведку для борьбы с атакующими»
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее