Кибератаки. Часть 2: Продвинутые техники и манипуляции

Руслан Рахметов, Security Vision

Мы уже рассказывали об основных инструментах и техниках проведения кибератак, а в текущей статье хотим уделить больше внимания человеческому фактору и необычным подходам злоумышленников.

Одним из «звеньев» компаний, которые могут быть слабыми, является человек. Сотрудник компании или контрагент с доступом к необходимым данным могут стать мишенью для злоумышленников, поэтому отдельно мы расскажем про несколько разновидностей атак с мишенью в виде человека.

Фишинг

Атаки, направленные на обман пользователей с целью получения конфиденциальной информации (например, паролей или данных банковских карт) путём подделки доверенных источников. Цель – получение конфиденциальной информации. Метод распространения – коммуникация с пользователем через электронную почту и фишинговые ссылки.

Для зашиты от фишинга уделяют особое внимание мониторингу почты с применением антиспам фильтров, блокировке известных опасных доменов и IP-адресов, а также обучению сотрудников распознаванию подозрительных писем и веб-сайтов.

Социальная инженерия

Использование манипуляций и обмана для убеждения людей предоставить конфиденциальную информацию или выполнить действия, которые могут привести к краже данных и денег. Методы распространения могут отличаться, но все они основаны на обмане и манипуляциях. Отдельно можно выделить атаки со стороны внутренних сотрудников и различные угрозы кибершпионажа.

Для борьбы с такими атаками проводятся регулярные обучения, дополнительно каждый человек может вырабатывать для себя полезные привычки при использовании Интернета.

Атаки на биометрические данные

Попытки обхода или манипуляции системами, использующими биометрическую аутентификацию. Биометрия – новый способ подтверждения личности в ИТ-системах, который уже применяется, например, в московском метро и некоторых банках. Мы выделили атаки на биометрические данные в отдельную категорию, поскольку они отличаются от других атак на персональные данные и требуют тщательной защиты в силу своей новизны.

В защите хранилищ биометрических шаблонов могут участвовать системы шифрования, мониторинга и анализа активности, а также привычные методы защиты аутентификации.

Брутфорс (Brute Force)

Тип атаки, при которой злоумышленники пытаются угадать пароли, перебирая все возможные комбинации – без необходимости фишинга, подмены ресурса фальшивыми копиями и сложных психологических уловок.

Чтобы бороться с такими атаками, необходимо ввести политики «сильных» паролей и их регулярное обновление. Сильным паролем будет такой, который не содержит слов и дат, важных пользователю, а также включает буквы обоих регистров (заглавные и малые), цифры и специальные знаки. Создать такой пароль можно самостоятельно или с применением специальных генератор случайных последовательностей, например в бесплатных сервисах passwordcraft.ru или randomus.ru.

Дополнительно при серии неудачных попыток входа сотрудники службы ИБ могут провести блокировку учётной записи, которая потенциально подвергается атаке. Можно связаться с пользователем, убедившись, что ошибки аутентификации были совершены легитимно, а для автоматизации применить решения классов SIEM и/или SOAR.

Также компании внедряют методы двухфакторной аутентификации для работы пользователей в тех системах, которые являются критичными и содержат конфиденциальную информацию. О подобных 2FA/MFA средствах мы уже рассказывали ранее.

Компрометация поставщика (Supply Chain Attacks)

Это целая группа атак на поставщиков ПО или оборудования для внедрения вредоносных компонентов в их продукты. Атакам могут быть подвержены компании, использующие сторонние разработки или привлекающие для создания ПО подрядчиков. Сама атака фокусируется на последних и может представлять собой комбинацию любых методик, описанных в текущем и прошлом обзоре.

Для защиты можно проводить аудит поставщиков, проводить проверки кода на уязвимости (статический и динамический анализ) и использовать только проверенные и сертифицированные решения, например, по итогам проверки ФСТЭК.

Потерпев неудачу в попытках получить от пользователя полезные сведения или столкнувшись с эшелонами средств защиты, злоумышленники могут продолжать попытки не только с использованием классических методов, но и прибегая к другим тактикам, о некоторых из которых мы расскажем ниже.

DNS-подделка (DNS Spoofing)

Такая атака связана с манипуляцией данными в системе доменных имён с целью перенаправления на фальшивые веб-сайты.

Для защиты можно защищать адреса от подделок с использованием DNS Security расширений (DNSSEC) и применять внутри компании и на его периметре межсетевые экраны для фильтрации DNS-трафика.

Фарминг (Pharming)

Атака, направленная на перенаправление пользователей с легитимных веб-сайтов на вредоносные. Для проведения подобной атаки злоумышленники выполняют манипуляции с системой доменных имён (см. выше) и другими способами перенаправляют трафик на подконтрольные им ресурсы.

Для защиты компании могут встроить в свои процессы ИБ мониторинг сетевых запросов и DNS-записей на предмет изменений, а также обновления программного обеспечения серверов. Также поможет регулярное обучение сотрудников распознаванию фальшивых веб-сайтов и вредоносных редиректов. Пользователи самостоятельно могут проверить использование защищённых протоколов (HTTPS) вместо менее надёжных (HTTP), а для проверки сертификатов безопасности можно использовать встроенные в браузер (например, Yandex Browser и Google Chrome) возможности.

Атаки на беспроводные сети (Wireless Network Attacks)

Это атаки для проведения отказа в обслуживании (DDoS) или перехват трафика на уровне сети.

Чтобы защититься от такой атаки, можно внедрять сильные пароли и проводить регулярные аудиты для выявления уязвимостей. Мы уже рассказывали о способах создании сетей и возможностях их защиты.

Боковая атака (Side-Channel Attacks)

Использование информации физических параметров компьютера/сервера, например, частоты (тип сети) и амплитуды (силы) электромагнитных волн, для извлечения конфиденциальных данных или определения местоположения в помещениях.

Для защиты серверные помещения «укрывают» слоями стен или специальными защитными корпусами, применяют ограничения физического доступа и системы наблюдения. Также программно можно применять шифрование данных, например, полное дисковое шифрование BitLocker и модули TPM (для Windows систем) или модуль ядра dm-crypt (Linux).

Квантовые атаки (Quantum Attacks)

Объединяют всевозможные угрозы для криптографических систем, основанных на квантовых вычислениях. Квантовые компьютеры и их внедрение в привычные технологии можно использовать для создания надёжных средств защиты, например, криптографии (шифрования).

Известных случаев атак подобного типа на сегодняшний не зафиксировано, но аналитики прогнозируют развитие технологии и формирование новых техник и тактик злоумышленников и, соответственно, способов борьбы с ними.

Атака посредника или «человек посередине» (Man-in-the-Middle, MITM)

Атаки, при которых злоумышленник встраивается между двумя точками в коммуникации и получает возможность не только чтения, но и перехвата и изменения данных. Злоумышленник в такой атаке ведёт свою деятельность образом, похожим на работу VPN и DLP.

Использование виртуальных частных сетей (VPN) можно применять и для защиты данных, при доступе к чувствительной информации на файловой шаре, CRM-системе или других сервисах компаний. Такой тоннель не позволит злоумышленнику внедриться в процесс передачи и видеть трафик, обеспечит связь между пользователем и сервисом напрямую, без внешних «зрителей».

Системы защиты от утечек данных (DLP), о которых мы уже рассказывали применительно к техническому и аналитическому аспектам, используют принцип «человека посередине» в своей работе и внедряются в трафик, читая его и блокируя передачу конфиденциальной информации, если это настроено в политиках реагирования.

С точки зрения защиты от атак посредников компании могут внедрять шифрование данных, которое защитит содержимое от доступа тех, кто не владеет паролем или другим ключом для расшифровки. Можно также физически ограничивать доступ к серверам и данным на них.

Количество типов кибератак сложно определить точно, так как постоянно появляются новые технологии и развиваются методы самих злоумышленников. Защита от кибератак требует комплексного подхода, поэтому мы надеемся, что наш обзор поможет вам в защите данных и определении собственных векторов развития безопасности и ИТ.