SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кибератаки. Часть 1: Технические инструменты и способы реализации

Кибератаки. Часть 1: Технические инструменты и способы реализации
18.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

По своим мотивам злоумышленники не похожи на белых хакеров, о которых мы писали ранее, но похожи на них инструментами, находчивостью и творческим подходом. Они постоянно совершенствуют свои навыки и изобретают что-то новое, поэтому их деятельность интересна не только для практической защиты, но и с точки зрения исследований и научных разработок.

Атаки хакеров на компании ежегодно увеличиваются в среднем на 20% (согласно статистике Solar и TrendMicro). Если же рассмотреть ситуацию в России, то по итогам 2023 года (в сравнении с предыдущим) произошло увеличение числа атак в 4 раза. Помимо количественного роста атаки развиваются и со стороны методологий, поэтому в этой статье мы расскажем про разные типы кибератак и способы защиты от них.

Для начала рассмотрим группу атак с использованием специальных программ. Они внедряются в компьютеры и мобильные устройства, распространяются между ними и проводят различные операции в зависимости от своего назначения. Действие таких программ можно сравнить с инфицированием во время пандемии или при употреблении термически необработанных продуктов, а их влияние сравнимо с подавлением иммунитета и повреждением отдельных органов или систем.

Поэтому бороться с такими атаками можно разными способами: мешать их внедрению в «клетки» компании и распространению, подавлять опасные механизмы влияния и своевременно выводить из «организма».

Вирус (Virus)


Это вредоносное программное обеспечение (ВПО), которое внедряется в информационные активы и распространяется между ними, повреждая отдельные файлы или действуя «без разбора» на крупные объекты. Цель – заражение файлов и систем. Метод распространения – между компьютерами и серверами. Последствия – повреждение и уничтожение файлов.

Для защиты используется антивирусное (с регулярным обновлением и проведением проверок. Обновление ОС и установленных программ также позволяет закрыть известные «бреши» в безопасности и предотвратить распространение и влияние вирусов.

 

Червь (Worm)

 

Компьютерные черви – это автономное ВПО (разновидность вирусов), которое способно распространяться автономно, без необходимости в хост-файлах или вредоносных обновлениях. Цель, методы распространения и последствия атак червей совпадают с вирусными.

Для защиты проводится блокирование ненадёжных портов и служб на сетевых устройствах с использованием брандмауэров и систем обнаружения аномалий в сети. Постоянное обновление и патчинг операционных систем и программ также помогает в обеспечении защиты.

 

Мальварь (Malware)

 

Целая группа ВПО (троянские программы, шпионское и рекламное ПО) с различными целями, методами распространения (например, через заражённые файлы, веб-сайты и электронную почту) и последствиями (включая кражу данных, утерю контроля над системой и др.).

Защиту обеспечивают антивирусы, антиспам движки, брандмауэры, обновления программ а также использование брандмауэров для защиты сети и прокси-серверы для блокировки нежелательных веб-сайтов.

 

Рэнсомвэр (Ransomware)

 

Тип программного обеспечения, который блокирует доступ к данным. Цель – требование выкупа доступа к данным. Метод распространения – через вредоносные вложения или ссылки. Последствия – потеря данных, необходимых для функционирования бизнеса или конфиденциальной информации клиентов, контрагентов и собственных сотрудников.

Чтобы обеспечить защиту, хранение данных разделяют по отдельным местам, ограничивают права доступа сотрудников с использованием IDM, проводят регулярные бэкапы (создание резервных копий данных) и блокируют выполнения макросов в документах.

 

Помимо классификации типов инструментов можно выделить различные типы кибератак с разделением по способам проникновения и влияния на инфраструктуру. Некоторые атаки действуют массово, другие – затрагивают конкретные сервисы и ИТ-системы.

Атаки на физическую инфраструктуру

 

Включают в себя попытки взлома или управления физическими системами управления зданиями и промышленными объектами. Метод распространения – создание физического контроля доступа к инфраструктуре, например, с применением backdoor и эксплуатации уязвимостей (см. далее). Последствия – различные в зависимости от атакуемых объектов, но отдельное внимание стоит уделить атакам на критическую инфраструктуру (энергетика, водоснабжение, транспорт и др. объекты, имеющие серьёзные последствия на большие группы населения, целые города и регионы.

Защититься от таких атак каким-то единым способом достаточно сложно, поэтому регулятор ФСТЭК разработал рекомендации и строгие правила по защите объектов критической информационной инфраструктуры (ОКИИ). С целью обеспечения безопасности проводятся регулярное обучение сотрудников (повышение осведомлённости), тестирования на проникновение (о которых мы рассказывали отдельно), аудиты безопасности (например, согласно 187-ФЗ для ОКИИ), а также используются системы видеонаблюдения (физическая безопасность).

 

Сетевые атаки

 

Это попытки несанкционированного доступа к компьютерным сетям с целью кражи информации, разрушения данных или даже создании отдельного лёгкого доступа (backdoor) «на будущее». Отдельная разновидность таких атак – воздействие на объекты Интернета Вещей (IoT), умные устройства в доме или предприятии с целью контроля или использования их для сетевых атак, в том числе DDoS.

Способы распространения и борьбы зависят от типов сетей, о которых мы уже рассказывали ранее, поэтому обеспечивать защиту рекомендуется точечно, в зависимости от выбранной модели построения сетей.

 

Атаки на отказ обслуживания (DDoS)

 

Представляют собой нападение на компьютерные системы или сети с целью перегрузки ресурсов и создания таких условий, в которых система вместо выполнения полезных запросов «отвлекается» на искусственно созданные. Цель – остановка сервисов обслуживания клиентов или внутренней работы.

Метод распространения – применение ботнет-сетей, источников «мусорных» запросов. Последствия – остановка сервисов, доступных широкому кругу лиц, например, интернет-магазина или сайта банка.

Бороться с DDoS-атаками можно путём мониторинга трафика для выявления аномалий, разработок планов реагирования и применения специальных анти-DDoS сервисов.

 

Атаки с использованием уязвимостей (Exploiting Vulnerabilities)

 

Атаки на слабые места в безопасности пытаются получить несанкционированный доступ к данным при помощи слабых мест в окружении. Метод распространения – точечно, затрагивая необновлённые ОС и ПО. Последствия – эксплуатация уязвимостей для получения доступа и кражи данных.

Чтобы защищаться от таких атак, необходимо проводить регулярные обновления системы и/или программ на АРМ и серверах и оперативно устранять уязвимости.

 

Различия кибератак демонстрируют многообразие методов и целей, возникает необходимость комплексного подхода к кибербезопасности, включая организационные и образовательные меры. С технической стороны компаниям для эффективной защиты необходимо применять системы различных классов вместе, в рамках единой и чётко функционирующей экосистемы. Для создания такой экосистемы можно использовать нативно связанные продукты, например, одного крупного разработчика, но из-за конкурентных отличий такой подход генерирует новые риски:

- одна проблема может повлиять на целую группу средств защиты;
- необходимого решения может не быть в портфеле одного вендора;
- уход разработчика с рынка может вызвать остановку работы сервисов и сделать невозможным получение важных обновлений.

Поэтому часто для эффективной защиты строятся сложные многовендорные системы, а для обеспечения передачи информации из одного решения в другое можно применять SOAR продукты. Также можно применять платформенные решения для создания единого интерфейса с удобным доступом ко всем данным, необходимым аналитикам, ИТ-специалистам, сотрудникам отдела управления рисками и всем остальным пользователям согласно ролевой модели.


SOAR Управление инцидентами СЗИ Управление уязвимостями КИИ Практика ИБ Подкасты ИБ

Рекомендуем

Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Практика ИБ. Работа с подсистемой журналирования Windows
Практика ИБ. Работа с подсистемой журналирования Windows
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Тестирование на проникновение
Тестирование на проникновение
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ

Рекомендуем

Обзор Положения Банка России от 23 декабря 2020 г. №747-П
Обзор Положения Банка России от 23 декабря 2020 г. №747-П
SIEM - Security Information and Event Management
SIEM - Security Information and Event Management
Практика ИБ. Работа с подсистемой журналирования Windows
Практика ИБ. Работа с подсистемой журналирования Windows
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №5 «Приоритизируйте реагирование на киберинциденты»
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Обзор публикации NIST SP 800-210 "General Access Control Guidance for Cloud Systems"
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Тестирование на проникновение
Тестирование на проникновение
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ

Похожие статьи

ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SOAR-системы
SOAR-системы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
«Фишки» Security Vision: навигация и поиск
«Фишки» Security Vision: навигация и поиск
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SOAR-системы
SOAR-системы
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Security Vision Next Generation SOAR: продукт по реагированию на киберугрозы следующего поколения
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных