SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Ландшафт угроз информационной безопасности последних лет. Часть 1

Ландшафт угроз информационной безопасности последних лет. Часть 1
11.04.2024

Анна Олейникова, директор по продуктам Security Vision

 

Начнем с определения угроз. Кому-то из круга читателей это будет излишним, но пусть здесь полежит – вдруг пригодится. Итак, угроза – это всевозможные действия или события, которые могут вести к нарушениям информационной безопасности, что может привести к нанесению ущерба или нарушению чьих-либо интересов.


По результату наших исследований (на основании огромного количества TI-отчетов, которые мы на регулярной основе изучаем в контексте Threat intelligence) за предыдущий год ландшафт угроз не сильно видоизменился в целом, но появилось много достаточно интересных изменений в частности.


Кстати, в качестве одного из документов к ознакомлению мы рекомендуем ENISA Threat Landscape 2022/2023 – достаточно основательное исследование, которое ежегодно выпускает аналитическое агентство, покрывающее большую часть интересных тем в контексте современных угроз и их примеров. Что не исключает, конечно, ознакомления с угрозами через вендорские отчеты, бюллетени (IBM, Microsoft, Elastic, Acronis, SonicWALL и т.д.) и через отчеты непосредственно исследователей (такие как The DFIR Report и другие). В целом TI (Threat intelligence) – это всегда огромное количество информации, причем совершенно разноплановой с точки зрения специализаций (тут вам и сетевые технологии, если атака на слабость протокола; и крипта, если угроза связана с кастомным шифрованием и даже программирование, если мы хотим понять, как работает rootkit). При этом только через TI-отчеты мы можем разобраться, как работают группировки, прокачиваются, как атакуют с конкретного вредоносного ПО, как используют техники и что сейчас актуально. Поэтому делюсь с вами частью своих агрегаторов TI-отчетов со всего мира: https://t.me/threatinteltrends и https://t.me/secvisionnews, вы найдете там много интересного. Ну что ж, приступим.

Наиболее распространенные угрозы последних лет

1. Вредоносное ПО

2. Программы-вымогатели (ransomware)

3. Угрозы социальной инженерии (в том числе фишинг)

4. Эксплуатация уязвимостей

5. Угроза доступности (DDoS-атаки)

6. Атаки на IoT (интернет вещей)

7. Атаки на цепочки поставок


В первой из серии статей по угрозам мы рассмотрим самые распространенные и самые порой разрушительные угрозы, тренд на которые не меняется уже несколько лет – вредоносное ПО и шифровальщиков (malware и ransomware).

Вредоносное ПО

Вредоносное ПО, также называемое вредоносным кодом и вредоносной логикой — общий термин, используемый для описания любого программного обеспечения или встроенного ПО, предназначенного для выполнения несанкционированного процесса, который окажет негативное влияние на конфиденциальность, целостность или доступность системы. Традиционно к примерам типов вредоносного кода относятся вирусы, черви, трояны или другие объекты на основе кода, которые заражают хост. Шпионское ПО и некоторые формы рекламного ПО также можно отнести к вредоносному ПО. На текущий момент времени вредоносное ПО является одной из самых распространенных угроз с точки зрения импакта (о самой распространенной угрозе с точки зрения первоначального доступа мы поговорим в статье, рассматривающей угрозы социальной инженерии). Согласно отчету SonicWall о киберугрозах за 2022 год, количество вредоносных программ впервые с 2018 года выросло до 5,5 миллиардов атак, что на 2% больше, чем в прошлом году (https://www.sonicwall.com/medialibrary/en/white-paper/2022-sonicwall-cyber-threat-report.pdf).


Злоумышленники часто используют вредоносное ПО в ходе своих кампаний. Наиболее частые задачи, решаемые с помощью ВПО: получение и поддержание контроля над активами, уклонение от защиты и обман, вымогательство, шпионаж и другие действия пост-компрометации. Вирусы, черви и трояны различаются по многим параметрам, таким как вектор заражения, репликация, способ доставки, распространение и контроль. С технической точки зрения различают компоненты по типам импакта, таким как полезные нагрузки, дропперы, инструменты посткомпрометации, бэкдоры и упаковщики.


Компоненты вредоносного ПО, используемые в атаке, зависят от целей злоумышленника и могут варьироваться от получения контроля над системами и сетями (первоначальный доступ, ботнеты) до получения и блокировки данных (агенты-вымогатели, кража информации). В соответствии с данными международных аналитических агентств за последние два года программы-вымогатели определены как наиболее опасная угроза. Более подробно мы их рассмотрим чуть позже.


Во время пандемии было замечено глобальное снижение вредоносного ПО. Это падение было связано с тем, что сотрудники работали из дома, что ограничивало заражение вредоносным ПО, которое обычно встречается в корпоративных инфраструктурах. С 22-го года в офисы стало возвращаться больше людей, поэтому было зарегистрировано значительное увеличение количества вредоносного ПО (по информации из вендорских отчетов). Однако данные показывают, что увеличение количества инцидентов с ВПО связано не только с увеличением персонала, находящегося в корпоративной среде, но и с увеличением количества вредоносных программ в целом, например, ростом вредоносного ПО для Интернета вещей.


При этом большинство из штаммов ВПО существуют уже более пяти лет, подтверждая тезис, что разработка вредоносного ПО представляет собой непрерывную работу, а активное развитие ВПО окупается. Например, последние года снова наблюдается заметный рост Emotet, что подтверждает эту гипотезу. Или другой пример из реальной жизни: утечка внутренних журналов чата кибергруппировки Conti RaaS. По данным аналитического агентства Enisa, в феврале 22-го года произошла утечка внутренних журналов чата группировки Conti RaaS, что дало уникальную информацию о внутренней организации группы, в том числе о том, что она работает как бизнес-компания и организованная структура. Как и в любой другой компании, в группировке присутствуют менеджеры среднего звена, менеджеры по персоналу, различные технические, производственные команды с дорожной картой и релизами. Судя по переписке компании, даже предусмотрены всевозможные социальные плюшки и льготы для сотрудников типа страховок, больничных и оплачиваемых отпусков.


Еще одна тенденция, которую хотелось бы отметить в контексте вредоносного ПО – развитие и широкое распространение среди злоумышленников модели malware-as-a service. Например, троян Warzone можно купить по подписке за 37 долларов в месяц. Киберпреступники используют его для загрузки и выгрузки различных файлов, выполнения и удаления ПО, отправки команд, просмотра и завершения процессов, просмотра веб-страниц, кражи сохраненных паролей из браузеров и почтовых клиентов и даже доступа к данным веб-камеры жертвы.

Программы-вымогатели (ransomware)

Среди вредоносных программ программы-вымогатели выделяются как особый тип, который удерживает и шифрует данные или систему до тех пор, пока жертва не заплатит выкуп. 


Сейчас угроза эволюционировала: в некоторых случаях злоумышленники стали воровать информацию организации и требовать дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности. Это интересно, и нам следует обратить внимание на меняющуюся картину угроз программ-вымогателей: распространение новых методов вымогательства (блокировка, шифрование, удаление, кража) и появление новых целей помимо исключительно финансовой выгоды (политические, промышленный шпионаж, конкурентная борьба, экологические и многие другие).


Еще один важные момент: столь же значимым, как и ранее остается тренд на 0day, 1day угрозы. Дело в том, что по общемировой статистике среднее время использования уязвимости крайне мало, в зависимости от аналитического агентства мы встречали цифры от 3-5 часов до восьми дней с момента публикации уязвимости. Причем публикации где угодно, на сайте поставщика с патчем или на черных рынках интернета. То есть вы еще не успели обновиться или может быть безопасного патча в принципе нет, а прототип вируса уже существует.


Примеры уязвимостей, которые очень быстро использовались вирусописателями:


1. Proxylogon (CVE-2021-26855)

https://www.bleepingcomputer.com/news/security/dearcry-ransomware-attacks-microsoft-exchange-with-proxylogon-exploits/


2. Zerologon (CVE-2020-1472)

https://threatpost.com/ryuk-ransomware-gang-zerologon-lightning-attack/160286/


3. Printnightmare (CVE-2021-34527)

https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-printnightmare-to-breach-windows-servers/


Эта тенденция подчеркивает важность выстраивания правильного подхода к приоритизации устранения уязвимостей за счет технологии анализа угроз.


Трендом последних лет является также распространение шифровальщиков посредством атак на цепочку поставок. Самый громкий случай, подтверждающий это - атака на MSP провайдера Kaseya в 2021, когда жертвами шифровальщика REvil стали множество компаний - пользователей услуг Kaseya (https://cybernews.com/security/kaseya-ransomware-attack-heres-what-you-need-to-know/).


Зато другой тренд 21-го года – загрузка шифровальщика через компрометацию сервисов удаленного доступа (RDP, VPN и др.) начал снижаться, его место занял фишинг. Но все же и этот способ первоначального доступа достаточно популярен на текущий момент времени. Работает схема через взлом слабых паролей при входе по RDP, особенно если не включена двухфакторная идентификация. RDP — популярный метод компрометации, поскольку злоумышленники используют законные полномочия, что позволяет им оставаться незамеченными. Однако перебор учетных данных RDP — это шумное занятие, и организации с достаточно зрелой системой безопасности быстро обнаружат многократные попытки аутентификации. Тогда как фишер использует доступ скомпрометированного инсайдера, что усложняет департаменту ИБ возможность своевременно обнаружить вредоносную активность.

Вот что вы можете сделать, чтобы избежать атак вредоносных программ

· Антивирусные средства защиты, а также средства поведенческого анализа (EDR, песочницы)

· Двухфакторная аутентификация и надежные пароли

· Проведите пентест для выявления уязвимостей

· Своевременное обновление

· Не переходите по ссылкам из неизвестных источников

· Никогда не используйте USB-накопитель, который вам не принадлежит

· Используйте VPN в общедоступных сетях

· Бэкапирование данных


Надеюсь, мы раскрыли вам основные интересные моменты по вирусам, их трендам, методам проникновения и способам защиты. В следующий раз обсудим другие угрозы, такие как методы социальной инжененрии, фишинг, DDoS-атаки, атаки на интернет вещей и ИИ. Увидимся!

Угрозы ИБ TIP Защита персональных данных (ИСПДН)

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
SOAR-системы
SOAR-системы
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них
SOAR-системы
SOAR-системы
IoCs / Индикаторы компрометации / Indicators of Compromise
IoCs / Индикаторы компрометации / Indicators of Compromise
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют