SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кибератаки. Часть 1: Технические инструменты и способы реализации

Кибератаки. Часть 1: Технические инструменты и способы реализации
18.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

По своим мотивам злоумышленники не похожи на белых хакеров, о которых мы писали ранее, но похожи на них инструментами, находчивостью и творческим подходом. Они постоянно совершенствуют свои навыки и изобретают что-то новое, поэтому их деятельность интересна не только для практической защиты, но и с точки зрения исследований и научных разработок.

Атаки хакеров на компании ежегодно увеличиваются в среднем на 20% (согласно статистике Solar и TrendMicro). Если же рассмотреть ситуацию в России, то по итогам 2023 года (в сравнении с предыдущим) произошло увеличение числа атак в 4 раза. Помимо количественного роста атаки развиваются и со стороны методологий, поэтому в этой статье мы расскажем про разные типы кибератак и способы защиты от них.

Для начала рассмотрим группу атак с использованием специальных программ. Они внедряются в компьютеры и мобильные устройства, распространяются между ними и проводят различные операции в зависимости от своего назначения. Действие таких программ можно сравнить с инфицированием во время пандемии или при употреблении термически необработанных продуктов, а их влияние сравнимо с подавлением иммунитета и повреждением отдельных органов или систем.

Поэтому бороться с такими атаками можно разными способами: мешать их внедрению в «клетки» компании и распространению, подавлять опасные механизмы влияния и своевременно выводить из «организма».


Мальварь (Malware)

 

Мальварь (Malware) - общее название для разных видов вредоносного программного обеспечения (ВПО) (троянские программы, шпионское и рекламное ПО, речь о которых пойдёт далее) с различными целями, методами распространения (например, через заражённые файлы, веб-сайты и электронную почту) и последствиями (включая кражу данных, утерю контроля над системой и др.).

Защиту в общем случае обеспечивают антивирусы, антиспам движки, брандмауэры, обновления программ а также использование брандмауэров для защиты сети и прокси-серверы для блокировки нежелательных веб-сайтов.

 

Вирус (Virus)


Это вредоносное программное обеспечение (ВПО), которое внедряется в информационные активы и распространяется между ними, повреждая отдельные файлы или действуя «без разбора» на крупные объекты. Цель – заражение файлов и систем. Метод распространения – между компьютерами и серверами. Последствия – повреждение и уничтожение файлов.

Для защиты используется антивирусное (с регулярным обновлением и проведением проверок. Обновление ОС и установленных программ также позволяет закрыть известные «бреши» в безопасности и предотвратить распространение и влияние вирусов.

 

Червь (Worm)

 

Компьютерные черви – это автономное ВПО (разновидность вирусов), которое способно распространяться автономно, без необходимости в хост-файлах или вредоносных обновлениях. Цель, методы распространения и последствия атак червей совпадают с вирусными.

Для защиты проводится блокирование ненадёжных портов и служб на сетевых устройствах с использованием брандмауэров и систем обнаружения аномалий в сети. Постоянное обновление и патчинг операционных систем и программ также помогает в обеспечении защиты.

 

Рэнсомвэр (Ransomware)

 

Тип программного обеспечения, который блокирует доступ к данным. Цель – требование выкупа доступа к данным. Метод распространения – через вредоносные вложения или ссылки. Последствия – потеря данных, необходимых для функционирования бизнеса или конфиденциальной информации клиентов, контрагентов и собственных сотрудников.

Чтобы обеспечить защиту, хранение данных разделяют по отдельным местам, ограничивают права доступа сотрудников с использованием IDM, проводят регулярные бэкапы (создание резервных копий данных) и блокируют выполнения макросов в документах.

 

Помимо классификации типов инструментов можно выделить различные типы кибератак с разделением по способам проникновения и влияния на инфраструктуру. Некоторые атаки действуют массово, другие – затрагивают конкретные сервисы и ИТ-системы.

Атаки на физическую инфраструктуру

 

Включают в себя попытки взлома или управления физическими системами управления зданиями и промышленными объектами. Метод распространения – создание физического контроля доступа к инфраструктуре, например, с применением backdoor и эксплуатации уязвимостей (см. далее). Последствия – различные в зависимости от атакуемых объектов, но отдельное внимание стоит уделить атакам на критическую инфраструктуру (энергетика, водоснабжение, транспорт и др. объекты, имеющие серьёзные последствия на большие группы населения, целые города и регионы.

Защититься от таких атак каким-то единым способом достаточно сложно, поэтому регулятор ФСТЭК разработал рекомендации и строгие правила по защите объектов критической информационной инфраструктуры (ОКИИ). С целью обеспечения безопасности проводятся регулярное обучение сотрудников (повышение осведомлённости), тестирования на проникновение (о которых мы рассказывали отдельно), аудиты безопасности (например, согласно 187-ФЗ для ОКИИ), а также используются системы видеонаблюдения (физическая безопасность).

 

Сетевые атаки

 

Это попытки несанкционированного доступа к компьютерным сетям с целью кражи информации, разрушения данных или даже создании отдельного лёгкого доступа (backdoor) «на будущее». Отдельная разновидность таких атак – воздействие на объекты Интернета Вещей (IoT), умные устройства в доме или предприятии с целью контроля или использования их для сетевых атак, в том числе DDoS.

Способы распространения и борьбы зависят от типов сетей, о которых мы уже рассказывали ранее, поэтому обеспечивать защиту рекомендуется точечно, в зависимости от выбранной модели построения сетей.

 

Атаки на отказ обслуживания (DDoS)

 

Представляют собой нападение на компьютерные системы или сети с целью перегрузки ресурсов и создания таких условий, в которых система вместо выполнения полезных запросов «отвлекается» на искусственно созданные. Цель – остановка сервисов обслуживания клиентов или внутренней работы.

Метод распространения – применение ботнет-сетей, источников «мусорных» запросов. Последствия – остановка сервисов, доступных широкому кругу лиц, например, интернет-магазина или сайта банка.

Бороться с DDoS-атаками можно путём мониторинга трафика для выявления аномалий, разработок планов реагирования и применения специальных анти-DDoS сервисов.

 

Атаки с использованием уязвимостей (Exploiting Vulnerabilities)

 

Атаки на слабые места в безопасности пытаются получить несанкционированный доступ к данным при помощи слабых мест в окружении. Метод распространения – точечно, затрагивая необновлённые ОС и ПО. Последствия – эксплуатация уязвимостей для получения доступа и кражи данных.

Чтобы защищаться от таких атак, необходимо проводить регулярные обновления системы и/или программ на АРМ и серверах и оперативно устранять уязвимости.

 

Различия кибератак демонстрируют многообразие методов и целей, возникает необходимость комплексного подхода к кибербезопасности, включая организационные и образовательные меры. С технической стороны компаниям для эффективной защиты необходимо применять системы различных классов вместе, в рамках единой и чётко функционирующей экосистемы. Для создания такой экосистемы можно использовать нативно связанные продукты, например, одного крупного разработчика, но из-за конкурентных отличий такой подход генерирует новые риски:

- одна проблема может повлиять на целую группу средств защиты;
- необходимого решения может не быть в портфеле одного вендора;
- уход разработчика с рынка может вызвать остановку работы сервисов и сделать невозможным получение важных обновлений.

Поэтому часто для эффективной защиты строятся сложные многовендорные системы, а для обеспечения передачи информации из одного решения в другое можно применять SOAR продукты. Также можно применять платформенные решения для создания единого интерфейса с удобным доступом ко всем данным, необходимым аналитикам, ИТ-специалистам, сотрудникам отдела управления рисками и всем остальным пользователям согласно ролевой модели.


SOAR Управление инцидентами СЗИ Управление уязвимостями КИИ Практика ИБ Подкасты ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса