SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кибератаки. Часть 2: Продвинутые техники и манипуляции

Кибератаки. Часть 2: Продвинутые техники и манипуляции
25.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Мы уже рассказывали об основных инструментах и техниках проведения кибератак, а в текущей статье хотим уделить больше внимания человеческому фактору и необычным подходам злоумышленников.

 

Одним из «звеньев» компаний, которые могут быть слабыми, является человек. Сотрудник компании или контрагент с доступом к необходимым данным могут стать мишенью для злоумышленников, поэтому отдельно мы расскажем про несколько разновидностей атак с мишенью в виде человека.

 

Фишинг

 

Атаки, направленные на обман пользователей с целью получения конфиденциальной информации (например, паролей или данных банковских карт) путём подделки доверенных источников. Цель – получение конфиденциальной информации. Метод распространения – коммуникация с пользователем через электронную почту и фишинговые ссылки.

 

Для зашиты от фишинга уделяют особое внимание мониторингу почты с применением антиспам фильтров, блокировке известных опасных доменов и IP-адресов, а также обучению сотрудников распознаванию подозрительных писем и веб-сайтов.

 

Социальная инженерия

 

Использование манипуляций и обмана для убеждения людей предоставить конфиденциальную информацию или выполнить действия, которые могут привести к краже данных и денег. Методы распространения могут отличаться, но все они основаны на обмане и манипуляциях. Отдельно можно выделить атаки со стороны внутренних сотрудников и различные угрозы кибершпионажа.

 

Для борьбы с такими атаками проводятся регулярные обучения, дополнительно каждый человек может вырабатывать для себя полезные привычки при использовании Интернета.

 

Атаки на биометрические данные

 

Попытки обхода или манипуляции системами, использующими биометрическую аутентификацию. Биометрия – новый способ подтверждения личности в ИТ-системах, который уже применяется, например, в московском метро и некоторых банках. Мы выделили атаки на биометрические данные в отдельную категорию, поскольку они отличаются от других атак на персональные данные и требуют тщательной защиты в силу своей новизны.

 

В защите хранилищ биометрических шаблонов могут участвовать системы шифрования, мониторинга и анализа активности, а также привычные методы защиты аутентификации.

 

Брутфорс (Brute Force)

 

Тип атаки, при которой злоумышленники пытаются угадать пароли, перебирая все возможные комбинации – без необходимости фишинга, подмены ресурса фальшивыми копиями и сложных психологических уловок.

 

Чтобы бороться с такими атаками, необходимо ввести политики «сильных» паролей и их регулярное обновление. Сильным паролем будет такой, который не содержит слов и дат, важных пользователю, а также включает буквы обоих регистров (заглавные и малые), цифры и специальные знаки. Создать такой пароль можно самостоятельно или с применением специальных генератор случайных последовательностей, например в бесплатных сервисах passwordcraft.ru или randomus.ru.

 

Дополнительно при серии неудачных попыток входа сотрудники службы ИБ могут провести блокировку учётной записи, которая потенциально подвергается атаке. Можно связаться с пользователем, убедившись, что ошибки аутентификации были совершены легитимно, а для автоматизации применить решения классов SIEM и/или SOAR.

 

Также компании внедряют методы двухфакторной аутентификации для работы пользователей в тех системах, которые являются критичными и содержат конфиденциальную информацию. О подобных 2FA/MFA средствах мы уже рассказывали ранее.

 

Компрометация поставщика (Supply Chain Attacks)

 

Это целая группа атак на поставщиков ПО или оборудования для внедрения вредоносных компонентов в их продукты. Атакам могут быть подвержены компании, использующие сторонние разработки или привлекающие для создания ПО подрядчиков. Сама атака фокусируется на последних и может представлять собой комбинацию любых методик, описанных в текущем и прошлом обзоре.

 

Для защиты можно проводить аудит поставщиков, проводить проверки кода на уязвимости (статический и динамический анализ) и использовать только проверенные и сертифицированные решения, например, по итогам проверки ФСТЭК.

 

Потерпев неудачу в попытках получить от пользователя полезные сведения или столкнувшись с эшелонами средств защиты, злоумышленники могут продолжать попытки не только с использованием классических методов, но и прибегая к другим тактикам, о некоторых из которых мы расскажем ниже.

 

DNS-подделка (DNS Spoofing)

 

Такая атака связана с манипуляцией данными в системе доменных имён с целью перенаправления на фальшивые веб-сайты.

 

Для защиты можно защищать адреса от подделок с использованием DNS Security расширений (DNSSEC) и применять внутри компании и на его периметре межсетевые экраны для фильтрации DNS-трафика.

 

Фарминг (Pharming)

 

Атака, направленная на перенаправление пользователей с легитимных веб-сайтов на вредоносные. Для проведения подобной атаки злоумышленники выполняют манипуляции с системой доменных имён (см. выше) и другими способами перенаправляют трафик на подконтрольные им ресурсы.

 

Для защиты компании могут встроить в свои процессы ИБ мониторинг сетевых запросов и DNS-записей на предмет изменений, а также обновления программного обеспечения серверов. Также поможет регулярное обучение сотрудников распознаванию фальшивых веб-сайтов и вредоносных редиректов. Пользователи самостоятельно могут проверить использование защищённых протоколов (HTTPS) вместо менее надёжных (HTTP), а для проверки сертификатов безопасности можно использовать встроенные в браузер (например, Yandex Browser и Google Chrome) возможности.

 

Атаки на беспроводные сети (Wireless Network Attacks)

 

Это атаки для проведения отказа в обслуживании (DDoS) или перехват трафика на уровне сети.

 

Чтобы защититься от такой атаки, можно внедрять сильные пароли и проводить регулярные аудиты для выявления уязвимостей. Мы уже рассказывали о способах создании сетей и возможностях их защиты.

 

Боковая атака (Side-Channel Attacks)

 

Использование информации физических параметров компьютера/сервера, например, частоты (тип сети) и амплитуды (силы) электромагнитных волн, для извлечения конфиденциальных данных или определения местоположения в помещениях.

 

Для защиты серверные помещения «укрывают» слоями стен или специальными защитными корпусами, применяют ограничения физического доступа и системы наблюдения. Также программно можно применять шифрование данных, например, полное дисковое шифрование BitLocker и модули TPM (для Windows систем) или модуль ядра dm-crypt (Linux).

 

Квантовые атаки (Quantum Attacks)

 

Объединяют всевозможные угрозы для криптографических систем, основанных на квантовых вычислениях. Квантовые компьютеры и их внедрение в привычные технологии можно использовать для создания надёжных средств защиты, например, криптографии (шифрования).

 

Известных случаев атак подобного типа на сегодняшний не зафиксировано, но аналитики прогнозируют развитие технологии и формирование новых техник и тактик злоумышленников и, соответственно, способов борьбы с ними.

 

Атака посредника или «человек посередине» (Man-in-the-Middle, MITM)

 

Атаки, при которых злоумышленник встраивается между двумя точками в коммуникации и получает возможность не только чтения, но и перехвата и изменения данных. Злоумышленник в такой атаке ведёт свою деятельность образом, похожим на работу VPN и DLP.

 

Использование виртуальных частных сетей (VPN) можно применять и для защиты данных, при доступе к чувствительной информации на файловой шаре, CRM-системе или других сервисах компаний. Такой тоннель не позволит злоумышленнику внедриться в процесс передачи и видеть трафик, обеспечит связь между пользователем и сервисом напрямую, без внешних «зрителей».

 

Системы защиты от утечек данных (DLP), о которых мы уже рассказывали применительно к техническому и аналитическому аспектам, используют принцип «человека посередине» в своей работе и внедряются в трафик, читая его и блокируя передачу конфиденциальной информации, если это настроено в политиках реагирования.

 

С точки зрения защиты от атак посредников компании могут внедрять шифрование данных, которое защитит содержимое от доступа тех, кто не владеет паролем или другим ключом для расшифровки. Можно также физически ограничивать доступ к серверам и данным на них.

 

Количество типов кибератак сложно определить точно, так как постоянно появляются новые технологии и развиваются методы самих злоумышленников. Защита от кибератак требует комплексного подхода, поэтому мы надеемся, что наш обзор поможет вам в защите данных и определении собственных векторов развития безопасности и ИТ.

Практика ИБ СЗИ Управление ИБ SIEM SOAR Подкасты ИБ

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Что такое снифферы и как они используются
Что такое снифферы и как они используются
SCA на языке безопасника
SCA на языке безопасника
Разработка без кода
Разработка без кода
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Визуализация: лучшие практики
Визуализация: лучшие практики
Что за зверь Security Champion?
Что за зверь Security Champion?

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Что такое снифферы и как они используются
Что такое снифферы и как они используются
SCA на языке безопасника
SCA на языке безопасника
Разработка без кода
Разработка без кода
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Динамические плейбуки
Динамические плейбуки
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Визуализация: лучшие практики
Визуализация: лучшие практики
Что за зверь Security Champion?
Что за зверь Security Champion?

Похожие статьи

Управление ИТ-активами
Управление ИТ-активами
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Пентесты
Пентесты
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Тестирование на проникновение
Тестирование на проникновение

Похожие статьи

Управление ИТ-активами
Управление ИТ-активами
Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое средства доверенной загрузки и для чего они применяются
Что такое средства доверенной загрузки и для чего они применяются
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Пентесты
Пентесты
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Тестирование на проникновение
Тестирование на проникновение