SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кибератаки. Часть 2: Продвинутые техники и манипуляции

Кибератаки. Часть 2: Продвинутые техники и манипуляции
25.12.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision

 

Мы уже рассказывали об основных инструментах и техниках проведения кибератак, а в текущей статье хотим уделить больше внимания человеческому фактору и необычным подходам злоумышленников.

 

Одним из «звеньев» компаний, которые могут быть слабыми, является человек. Сотрудник компании или контрагент с доступом к необходимым данным могут стать мишенью для злоумышленников, поэтому отдельно мы расскажем про несколько разновидностей атак с мишенью в виде человека.

 

Фишинг

 

Атаки, направленные на обман пользователей с целью получения конфиденциальной информации (например, паролей или данных банковских карт) путём подделки доверенных источников. Цель – получение конфиденциальной информации. Метод распространения – коммуникация с пользователем через электронную почту и фишинговые ссылки.

 

Для зашиты от фишинга уделяют особое внимание мониторингу почты с применением антиспам фильтров, блокировке известных опасных доменов и IP-адресов, а также обучению сотрудников распознаванию подозрительных писем и веб-сайтов.

 

Социальная инженерия

 

Использование манипуляций и обмана для убеждения людей предоставить конфиденциальную информацию или выполнить действия, которые могут привести к краже данных и денег. Методы распространения могут отличаться, но все они основаны на обмане и манипуляциях. Отдельно можно выделить атаки со стороны внутренних сотрудников и различные угрозы кибершпионажа.

 

Для борьбы с такими атаками проводятся регулярные обучения, дополнительно каждый человек может вырабатывать для себя полезные привычки при использовании Интернета.

 

Атаки на биометрические данные

 

Попытки обхода или манипуляции системами, использующими биометрическую аутентификацию. Биометрия – новый способ подтверждения личности в ИТ-системах, который уже применяется, например, в московском метро и некоторых банках. Мы выделили атаки на биометрические данные в отдельную категорию, поскольку они отличаются от других атак на персональные данные и требуют тщательной защиты в силу своей новизны.

 

В защите хранилищ биометрических шаблонов могут участвовать системы шифрования, мониторинга и анализа активности, а также привычные методы защиты аутентификации.

 

Брутфорс (Brute Force)

 

Тип атаки, при которой злоумышленники пытаются угадать пароли, перебирая все возможные комбинации – без необходимости фишинга, подмены ресурса фальшивыми копиями и сложных психологических уловок.

 

Чтобы бороться с такими атаками, необходимо ввести политики «сильных» паролей и их регулярное обновление. Сильным паролем будет такой, который не содержит слов и дат, важных пользователю, а также включает буквы обоих регистров (заглавные и малые), цифры и специальные знаки. Создать такой пароль можно самостоятельно или с применением специальных генератор случайных последовательностей, например в бесплатных сервисах passwordcraft.ru или randomus.ru.

 

Дополнительно при серии неудачных попыток входа сотрудники службы ИБ могут провести блокировку учётной записи, которая потенциально подвергается атаке. Можно связаться с пользователем, убедившись, что ошибки аутентификации были совершены легитимно, а для автоматизации применить решения классов SIEM и/или SOAR.

 

Также компании внедряют методы двухфакторной аутентификации для работы пользователей в тех системах, которые являются критичными и содержат конфиденциальную информацию. О подобных 2FA/MFA средствах мы уже рассказывали ранее.

 

Компрометация поставщика (Supply Chain Attacks)

 

Это целая группа атак на поставщиков ПО или оборудования для внедрения вредоносных компонентов в их продукты. Атакам могут быть подвержены компании, использующие сторонние разработки или привлекающие для создания ПО подрядчиков. Сама атака фокусируется на последних и может представлять собой комбинацию любых методик, описанных в текущем и прошлом обзоре.

 

Для защиты можно проводить аудит поставщиков, проводить проверки кода на уязвимости (статический и динамический анализ) и использовать только проверенные и сертифицированные решения, например, по итогам проверки ФСТЭК.

 

Потерпев неудачу в попытках получить от пользователя полезные сведения или столкнувшись с эшелонами средств защиты, злоумышленники могут продолжать попытки не только с использованием классических методов, но и прибегая к другим тактикам, о некоторых из которых мы расскажем ниже.

 

DNS-подделка (DNS Spoofing)

 

Такая атака связана с манипуляцией данными в системе доменных имён с целью перенаправления на фальшивые веб-сайты.

 

Для защиты можно защищать адреса от подделок с использованием DNS Security расширений (DNSSEC) и применять внутри компании и на его периметре межсетевые экраны для фильтрации DNS-трафика.

 

Фарминг (Pharming)

 

Атака, направленная на перенаправление пользователей с легитимных веб-сайтов на вредоносные. Для проведения подобной атаки злоумышленники выполняют манипуляции с системой доменных имён (см. выше) и другими способами перенаправляют трафик на подконтрольные им ресурсы.

 

Для защиты компании могут встроить в свои процессы ИБ мониторинг сетевых запросов и DNS-записей на предмет изменений, а также обновления программного обеспечения серверов. Также поможет регулярное обучение сотрудников распознаванию фальшивых веб-сайтов и вредоносных редиректов. Пользователи самостоятельно могут проверить использование защищённых протоколов (HTTPS) вместо менее надёжных (HTTP), а для проверки сертификатов безопасности можно использовать встроенные в браузер (например, Yandex Browser и Google Chrome) возможности.

 

Атаки на беспроводные сети (Wireless Network Attacks)

 

Это атаки для проведения отказа в обслуживании (DDoS) или перехват трафика на уровне сети.

 

Чтобы защититься от такой атаки, можно внедрять сильные пароли и проводить регулярные аудиты для выявления уязвимостей. Мы уже рассказывали о способах создании сетей и возможностях их защиты.

 

Боковая атака (Side-Channel Attacks)

 

Использование информации физических параметров компьютера/сервера, например, частоты (тип сети) и амплитуды (силы) электромагнитных волн, для извлечения конфиденциальных данных или определения местоположения в помещениях.

 

Для защиты серверные помещения «укрывают» слоями стен или специальными защитными корпусами, применяют ограничения физического доступа и системы наблюдения. Также программно можно применять шифрование данных, например, полное дисковое шифрование BitLocker и модули TPM (для Windows систем) или модуль ядра dm-crypt (Linux).

 

Квантовые атаки (Quantum Attacks)

 

Объединяют всевозможные угрозы для криптографических систем, основанных на квантовых вычислениях. Квантовые компьютеры и их внедрение в привычные технологии можно использовать для создания надёжных средств защиты, например, криптографии (шифрования).

 

Известных случаев атак подобного типа на сегодняшний не зафиксировано, но аналитики прогнозируют развитие технологии и формирование новых техник и тактик злоумышленников и, соответственно, способов борьбы с ними.

 

Атака посредника или «человек посередине» (Man-in-the-Middle, MITM)

 

Атаки, при которых злоумышленник встраивается между двумя точками в коммуникации и получает возможность не только чтения, но и перехвата и изменения данных. Злоумышленник в такой атаке ведёт свою деятельность образом, похожим на работу VPN и DLP.

 

Использование виртуальных частных сетей (VPN) можно применять и для защиты данных, при доступе к чувствительной информации на файловой шаре, CRM-системе или других сервисах компаний. Такой тоннель не позволит злоумышленнику внедриться в процесс передачи и видеть трафик, обеспечит связь между пользователем и сервисом напрямую, без внешних «зрителей».

 

Системы защиты от утечек данных (DLP), о которых мы уже рассказывали применительно к техническому и аналитическому аспектам, используют принцип «человека посередине» в своей работе и внедряются в трафик, читая его и блокируя передачу конфиденциальной информации, если это настроено в политиках реагирования.

 

С точки зрения защиты от атак посредников компании могут внедрять шифрование данных, которое защитит содержимое от доступа тех, кто не владеет паролем или другим ключом для расшифровки. Можно также физически ограничивать доступ к серверам и данным на них.

 

Количество типов кибератак сложно определить точно, так как постоянно появляются новые технологии и развиваются методы самих злоумышленников. Защита от кибератак требует комплексного подхода, поэтому мы надеемся, что наш обзор поможет вам в защите данных и определении собственных векторов развития безопасности и ИТ.

Практика ИБ СЗИ Управление ИБ SIEM SOAR Подкасты ИБ

Рекомендуем

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Геймификация SOC
Геймификация SOC
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)

Рекомендуем

Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №10 «Применяйте метрики оценки эффективности для улучшения работы SOC»
Геймификация SOC
Геймификация SOC
Как система защиты данных от утечек понимает, что защищать
Как система защиты данных от утечек понимает, что защищать
Актуальные тренды кибербезопасности в 2021 году
Актуальные тренды кибербезопасности в 2021 году
«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Построение системы управления информационной безопасностью. Часть 1. Инвентаризация активов
Управление информационной безопасностью (Менеджмент ИБ)
Управление информационной безопасностью (Менеджмент ИБ)

Похожие статьи

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России

Похожие статьи

Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Обеспечение непрерывности деятельности и восстановление работоспособности инфраструктуры компании. Физическая безопасность (конспект лекции)
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Новые подходы и новые возможности по мониторингу сетевой инфраструктуры
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Обзор публикации NIST SP 800-184 "Guide for Cybersecurity Event Recovery"
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Вебинары о конструкторах аналитики и отчетов на платформе Security Vision
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России
Обзор Профиля защиты прикладного программного обеспечения. Методический документ Банка России