SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Взломы в информационной безопасности - что это, как они происходят и как от них защититься

Взломы в информационной безопасности - что это, как они происходят и как от них защититься
03.06.2024

Руслан Рахметов, Security Vision

 

В последние годы в СМИ и на просторах интернета всё чаще мелькают новости о разнообразных кибератаках - DDoS, утечках данных, краже конфиденциальной информации, кибердиверсиях. Причем зачастую информация в подобных новостных сообщениях неполная и размытая, а ссылки на первоисточники либо не публикуются, либо это могут быть достаточно детальные технические отчеты о расследовании киберинцидентов, что усложняет понимание. В некоторых случаях под видом "утечки" публикуется информация о массивах данных, собранных методом "скрейпинга" публично доступных веб-сайтов, включая социальные сети - фактически, производится скачивание и анализ большого объема информации со множества веб-страниц, которая может включать в себя персональные данные или конфиденциальную информацию. Несмотря на то, что зачастую веб-администраторы некорректно устанавливают права доступа на веб-станицы и неверно конфигурируют настройки в файле robots.txt (содержит инструкции для ботов поисковых систем о том, какие веб-страницы сайта нужно индексировать), собранная подобным способом информация не может считаться взломом или утечкой в общепринятом понимании. Встречаются и противоположные случаи, когда компания, допустившая компрометацию своей инфраструктуры хакерами, во избежание штрафов и репутационных последствий опровергает появляющиеся в СМИ сообщения об инциденте, утверждая, что источник утечки совсем иной или же что опубликованные данные получены из общедоступных источников. В настоящей статье постараемся разобраться, что же такое взломы в контексте кибербезопасности, как они происходят и как от них защититься.

 

Итак, для начала следует разобраться с некоторыми терминами, которые используются при обсуждении кибервзломов:


1. В англоязычной литературе часто используется термин "data breach", означающий любой киберинцидент, при котором постороннее лицо получило доступ к информации, что привело к нарушению её конфиденциальности. Таким образом, "data breach" означает не только утечку данных, но и нарушение безопасности данных, неправомерный / несанкционированный доступ к данным (т.е. доступ к данным в нарушение установленных правил и политик ИБ). Подобный неправомерный доступ к данным может быть следствием не только целенаправленной хакерской атаки (например, атакующие похитили персональные данные клиентов компании и выложили их в открытом доступе), но и череды случайных событий, в результате которых становится невозможно контролировать доступ к информации (например, утеря личного дела работника на бумажном носителе или кража смартфона с корпоративной информацией). И напротив, DDoS-атака или поломка оборудования не будут являться неправомерным доступом к данным, поскольку данные типы инцидентов приводят к нарушению свойств доступности или целостности данных, а не конфиденциальности. Следует также учесть, что, например, воздействие вируса-шифровальщика (ransomware), который в целях получения выкупа зашифровал информацию на сетевых дисках компании, но не похищал её, также следует расценивать как неправомерный доступ к данным, поскольку без чтения информации физически невозможно осуществить её шифрование.


2. Часто встречается также понятие угрозы безопасности информации (киберугроза, англ. "cyberthreat"), которая представляет собой набор условий и факторов, создающих опасность нарушения безопасности информации (её целостности, конфиденциальности, доступности) и являющихся потенциальной причиной возникновения киберинцидента.


3. Киберинцидент (инцидент ИБ) - это последовательность событий, в том числе случайных, которые могут привести или уже привели к успешной кибератаке, нарушению работы информационного актива, нанесению ущерба интересам компании.


4. Под взломом как правило понимают кибератаку, т.е. целенаправленное вредоносное воздействие на информационный актив (данные, ИТ-системы, процессы обработки информации) для реализации киберугрозы.


5. Таким образом, следует различать термины «кибератака» и «киберинцидент»: кибератака - это целенаправленное вредоносное воздействие (например, хакерская атака, DDoS или хищение данных инсайдером), а киберинцидент - это более широкое понятие, которое, помимо кибератак, может включать в себя последствия ненамеренных / случайных действий и явлений, например, когда системный администратор случайно удалил базу данных, когда в результате пожара в ЦОД оборудование вышло из строя, когда SMM-менеджер случайно опубликовал подробности об еще не выпущенном продукте на корпоративной странице в соцсети.

 

Разумеется, взломы были бы невозможны без источника данной вредоносной активности - нарушителей, являющихся причиной кибератак. Нарушители могут быть внешними или внутренними: внешние нарушители не имеют легитимного доступа к защищаемой информации, а внутренние нарушители (инсайдеры, англ. "insider") - это сотрудники компании и лица, юридически связанные с компанией, имеющие легитимный доступ к защищаемым данным. Примеры внешних нарушителей: случайные посетители веб-сайта, конкуренты, хакеры (разной степени профессионализма), хактивисты, солдаты киберармий. Примеры внутренних нарушителей: сотрудники, администраторы, руководители, аутсорсеры, подрядчики, поставщики, заказчики компании.


И внешние, и внутренние злоумышленники отличаются наличием способов и мотивов и уровнем возможностей для реализации кибератак: физический или логический (в том числе сетевой) доступ, доступ с пользовательскими или административными правами, уровень подготовленности (знания и навыки атакующих), ресурсное обеспечение (финансовые, технические, кадровые возможности для реализации кибератаки). При этом инсайдеры обладают знаниями о работе компании и местах хранения важной информации, могут получить к ней санкционированный доступ, в том числе с административными правами. Инсайдеров можно условно разделить на халатных (их ненамеренные действия могут стать причиной киберинцидента), саботирующих (могут нарушить работу компании в силу своей нелояльности или в отместку), увольняющихся (могут скопировать себе рабочие файлы для использования на новом месте), целенаправленных (могут быть завербованы атакующими или внедрены конкурентами для бизнес-разведки).

 

Для осуществления кибервзломов описанные нарушители (источники киберугроз) стараются найти и использовать уязвимости, т.е. слабые места, ошибки или недостатки конфигурирования средств защиты, информационных систем, бизнес-процессов. Программные уязвимости могут быть обнаружены в результате целенаправленного их поиска ИБ-исследователями или хакерами, которые также активно используют нелегальные биржи по продаже эксплойтов (вредоносных программ, эксплуатирующих новые уязвимости). Уязвимости характеризуются степенью опасности, включающей простоту эксплуатации уязвимости и её влияние на конфиденциальность, целостность, доступность защищаемого актива. После обнаружения уязвимости, атакующие должны найти способ её применить для осуществления взлома: можно использовать различные способы доставки и запуска эксплойтов (например, с помощью email-фишинга или через атаку на доступный из интернета веб-сервер), а также эксплуатировать выявленные нарушения и ошибки в технических и организационных процессах компании (например, отсутствие должной проверки кандидатов перед их приемом на работу, что позволит атакующим внедрить инсайдера). Способы реализации киберугроз можно классифицировать по применяемым злоумышленниками тактикам, техникам, процедурам кибератак (сокращенно TTPs, от англ. Tactics, Techniques, Procedures), неисчерпывающий перечень которых можно изучить на сайте проекта MITRE ATT&CK.

 

Современные сложные кибератаки осуществляются после тщательной подготовки и условно разделяются на следующие этапы: разведка; подбор, создание или приобретение инструментов (вирусов, хакерских утилит, инфраструктуры) для атаки; первичный доступ (проникновение в инфраструктуру); запуск ВПО; закрепление в атакованной инфраструктуре; повышение привилегий; сокрытие вредоносных действий от защитных решений и ИБ-специалистов; доступ к учетным данным (логины, пароли); глубокий анализ атакованной инфраструктуры; горизонтальное продвижение по инфраструктуре; сбор ценной информации; настройка взаимодействия зараженных устройств с командным сервером злоумышленников; похищение (вывод, эксфильтрация) собранной информации; нанесение прямого ущерба (например, вывод из строя инфраструктуры, шифрование данных, дефейс сайта).

 

Разобравшись с тем, что такое кибервзломы и как они происходят, приведем некоторые типы характерных для современности сложных кибератак:


1. Атаки вирусов-шифровальщиков стали огромной проблемой для множества компаний по всему миру: первые широко распространенные вирусы-вымогатели 15-20 лет назад всего лишь блокировали работу ПК (например, нарушая нормальный процесс запуска ОС), затем их создатели перешли к шифрованию данных с последующим требованием выкупа за расшифрование - однако с такими угрозами компании стали эффективно бороться с помощью резервного копирования и выявления массовых операций шифрования (изменения) файлов на сетевых дисках, что позволяло вовремя остановить атаку. Далее атакующие перешли к тактике кражи конфиденциальной информации и персональных данных с последующим шифрованием или выводом из строя инфраструктуры - это позволяло затруднить процесс расследования и восстановления после кибератаки, а злоумышленники требовали выкуп не только за расшифрование, но и за неразглашение информации, украденной в результате атаки. Потом хакеры пошли еще дальше и перешли к тактике тройного вымогательства: украденные данные анализировались, а затем их владельцы (например, зарегистрированные пользователи взломанного веб-сайта или клиенты атакованной юридической компании) сталкивались с требованием выкупа за их неразглашение. Подобный вид кибератак стал большой проблемой в западных странах, компании в которых сталкиваются одновременно и с высокими штрафами за утечки персональных данных, и с недавним законодательным запретом на выплату выкупа вымогателям. Кроме того, недавние расследования в отношении киберпреступных вымогательских групп показали, что, вопреки своим обещаниям, после получения выкупа они не удаляют похищенную у жертв информацию и могут использовать её в дальнейших атаках.

 

2. Атаки на цепочки поставок представляют собой достаточно сложную для выявления угрозу, которая особо опасна в решениях на базе Open Source, для которых характерны множественные перекрёстные и транзитивные зависимости программных компонентов и модулей. Например, служебная утилита, которая была разработана независимым разработчиком-энтузиастом, может использоваться в достаточно крупных Open Source продуктах с множеством установок в корпоративных инфраструктурах. Если в исходный код данной утилиты автором будут внесены несанкционированные изменения, несущие деструктивный функционал, то при обновлении зависимых от утилиты пакетов данные вредоносные изменения распространятся по множеству инфраструктур. В случае, если подобную утилиту разрабатывает коллектив независимых разработчиков, то атакующим достаточно скомпрометировать учетную запись одного из программистов с правами внесения изменений в исходный код. Кроме того, злоумышленники могут предложить авторам утилиты свою помощь, якобы для улучшения программы, однако, заручившись доверием, внесут в исходный код изменения со скрытым вредоносным функционалом. Однако, даже использование проприетарного коммерческого ПО не дает страховку от подобных атак на цепочки поставок, поскольку инфраструктура компании-разработчика программного продукта может быть взломана, а в процессе выпуска дистрибутивов или обновлений в них может быть внедрено вредоносное ПО.

 

3. Атаки через доверительные отношения с поставщиками, подрядчиками, партнерами также достаточно сложны для выявления, особенно учитывая возможные нюансы взаимодействия между контрагентами. В подобных атаках злоумышленники взламывают небольшие слабо защищенные компании, которые взаимодействуют с широким кругом крупных заказчиков или партнеров, не только представляющих наибольший интерес для хакеров, но и лучше защищенных от взломов. Например, вместо взлома условной компании Apple хакеры могут попробовать атаковать одного из множества поставщиков (например, российский завод «Монокристалл», поставляющий сырье для дисплеев iPhone и стекол для Apple Watch), который ведет электронный документооборот с целевой компанией или использует настроенные удаленные подключения к её инфраструктуре - через данные каналы коммуникации атакующим будет гораздо проще добраться до интересующей их «крупной рыбы».

 

Наконец, следует обсудить и методы защиты и противодействия кибервзломам. Разумеется, для описания всех возможных предупредительных, директивных, превентивных и компенсирующих мер может потребоваться не одна сотня страниц, однако попробуем сосредоточиться на наиболее эффективных из них: в соответствии с «принципом Парето» (так называемое «правило 80/20»), всего 20% усилий дают 80% результата.

 

1. Формирование четкой, зрелой, контролируемой системы управления кибербезопасностью, в соответствии с которой будут выстраиваться все ИБ-процессы, организационные и технические меры защиты, способы предотвращения и реагирования на киберинциденты;

2. Наличие процедуры управления уязвимостями (обновление ОС, ПО, СЗИ);

3. Наличие процедуры резервного копирования;

4. Использование мультифакторной аутентификации;

5. Соблюдение рекомендаций вендоров в части защищенной настройки ОС, ПО, СЗИ;

6. Проведение обучения сотрудников правилам кибергигиены и принципам кибербезопасности в компании;

7. Выработка способов выявления атак, в которых применяются методы социальной инженерии.

ИБ для начинающих Практика ИБ MITRE СЗИ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS