top of page

Информационная безопасность - зачем и как?

Обновлено: 14 янв.

Дорогие друзья, прежде чем мы начнем, в конце статьи несколько презентаций и запись нашего вебинара.

Содержание

Введение

2022 год можно назвать годом идеального шторма для цифровизации:

  • уход разработчиков "железа" и программного обеспечения, как следствие увеличение стоимости и сроков поставки;

  • с падение платежеспособности клиентов и смена их приоритетов;

  • отток квалифицированных кадров;

  • кибервойна.

И типовая реакция у компаний была следующей:

  • Заморозка всех проектов развития

  • Ориентация на решения on-premise

  • Переход на «тотальную защиту»

  • Желание переждать на текущем ПО

  • Отмена установки обновлений

Что в свою очередь приводит к новым рискам:

1. Иллюзия безопасности

Стратегия заведения всех ИТ-систем во внутренний контур приводит к иллюзии безопасности – практически любую организацию можно «вскрыть» за 2 дня. Кроме того, облачные ЦОДы провайдеров изначально проектируются из концепции «вокруг все враги». А отсутствие обновлений приводит к тому, что хакерам проще использовать известные уязвимости

2. Снижение эффективности и рост стоимости информационной безопасности

Квалифицированных специалистов по ИБ на рынке недостаточно. Попытка привлечь лучших в каждую компанию приводит к гонке зарплат. К тому же, десять специалистов у единого облачного провайдера могут защитить в разы больше информации, чем эти же десять человек, работающие поодиночке в разных компаниях

3. Генерирование новых ИБ-рисков

Политика «тотальной защиты» приводит к параличу бизнес-процессов, в итоге люди выходят из защищенного контура организации и только увеличивают риски

Количество успешных атак с 2017 по 2022 годы увеличилось с 985 до 2921, то есть на 196,5%. А средняя стоимость ущерба 1 атаки увеличилась с 50-100 тыс. рублей до 200+ млн рублей

При этом сами атаки становятся комплексными: сочетают атаки на людей и технические инструменты.

И главные зоны риска - топ-менеджмент, HR, маркетинг.

Если говорить о техниках атак, то тут так же в одной атаке может сочетаться несколько подходов, и особое внимание уделяется использованию вредоносного ПО, социальной инженерии и эксплуатации известных уязвимостей в программном обеспечении.

Социальная инженерия - это сбор данных о человеке/организации и затем психологическое манипулирование человеком, чтобы он совершил те или иные действия.

Пример – звонки мошенников от «службы безопасности банка». И самое печальное - что люди попадаются все чаще.

При этом после перехода по ссылке от злоумышленника, люди вводят свои логины и пароли до 40-50 раз подряд, не понимая почему "не работает" фишинговая форма.

Ну а бесспорный хит для использования социальной инженерии - электронная почта. При атаках на организации она используется в 9 из 10 атак.

И не застрахован никто, даже специалисты по информационной безопасности.

Обычно используются реальные адреса электронной почты. При этом в ходу наиболее «хайповые» темы писем: социальные события, увольнения и сокращения, премии

Ну а после проникновения в организацию, вредоносное ПО в 42% случаев распространяется также через почту.

Если говорить о типах вредоносного ПО, то бесспорный хит в атаках на компании - шифровальщики данных. Зачем разбираться в бизнес-процессах, если можно все зашифровать и получить выкуп? Ну а в атаках на людей - шпионское ПО.

Ключевая проблемы в организации кибербезопасности, с точки зрения технической организации:

  • разработчики ПО не устраняют уязвимости даже после того, как им сообщают о них;

  • программное обеспечение и ИТ-ландшафт организаций становятся все сложнее, а количество внешних веб-сервисов больше, а значит и возможностей для дыр все больше и больше;

  • даже крупные разработчики ПО стараются удешевить стоимость разработки и ищут все менее дорогих специалистов.

Также набирает популярность атака цепочку поставок. Когда атакуется разработчик и в новое обновление или внедряемое ПО закладывается уязвимость. А уже потом атакуется целевая компания

Наиболее яркий пример - атака на компанию SolarWinds в 2020 году. Её клиентами было правительство США и 400 самых крупных корпораций.

При этом даже крупные организации сейчас не проверяют поставщиков ПО на наличие типовых уязвимостей.

А требования к новым продуктам размыты: например, «должны соответствовать требованиям ИБ»

Кроме того, большинство организаций игнорирует и один из самых эффективных инструментов - киберполигоны.

Киберполигоны - виртуально-реальная копия ИТ-инфраструктуры, что делает возможным выявление недопустимых событий и сценариев, тренироваться без рисков.

Но одна организация вряд ли сможет организовать эффективный киберполигон. Просто не хватит ресурсов и не смогут собрать качественную команду для проверки и атак. Плюс крупные и публичные компании не рискуют идти на открытые учения, так как CISO понимают, что их сломают. А это политически невыгодно.

При этом у хакеров набирает популярность ИИ

  • подмена голоса и видео

  • создание вирусов

  • сканирование периметра организаций и поиск уязвимостей

  • автоматический сбор информации из открытых источников на определенные темы и подготовка фишинговых писем

Как вы уже поняли, главный тренд последних лет, помимо нарушения работы компании - охота за данными: кража, шифрование, удаление.

Ну а среди данных главная цель у хакеров - персональные и учетные данные пользователей, коммерческая тайна.

  • Претекстинг

Вам звонят якобы из службы безопасности банка и ведут вас по заранее подготовленному сценарию. В итоге вы должны или сделать нужное действие, или раскрыть нужную информацию.

Для таких атак характерна подготовка, когда узнают имя человека, занимаемую должность, рабочие проекты и т.д. Все это необходимо для формирования доверия.

  • Фишинг

Вам приходит письмо, например, снова из банка. Внутри письма – ссылка, по которой надо пройти и оплатить штраф или подтвердить свои данные. Главное, что в письме будут все логотипы и оно будет максимально похожим на настоящее. Далее вы вводите конфиденциальные данные (логины, пароли и т.д.) и это утекает к злоумышленникам.

  • Троянский конь

Тут работают на любопытстве или желании халявы. В том же электронном письме может содержаться вложение, например, с бесплатной версией популярной программы. Далее человек устанавливает программное обеспечение, в котором зашит вирус, после чего получает либо шифрование файлов, либо баннеры с порнографией на весь кран, либо тихий сбор данных с компьютера, либо что угодно.

  • Дорожное яблоко

Это вариант троянского коня, только тут работа идет не через электронную почту, а через физический носитель. Человек может идти с парковки к офису и найти брендированную флешку. Дальше все происходит по схеме троянского коня: заражение и полный набор развлечений.

  • Кви про кво

Хакер звонит по случайному номеру в компанию, представляется сотрудником техподдержки и задает вопрос, а есть ли какие-либо технические проблемы у жертвы. Если есть (а скорее всего они есть), то начинается, условно говоря, претекстинг: сотрудник делает нужные действия, а злоумышленник устанавливает вредоносное ПО.

  • Обратная социальная инженерия

Здесь идет работа от обратного – жертву заставляют позвонить злоумышленнику и попросить о помощи. Например: сначала жертве на почту приходит письмо из разряда «если возникли неполадки с компьютером, позвоните по такому-то номеру»; далее создается проблема, когда пропадает интернет; затем жертва сама обращается к злоумышленникам.

Какие вложения к письмам опасны?

  • ZIP- и RAR-архивы

Киберпреступники очень любят прятать вредоносные файлы в архивы, и, распаковав архив, вы можете тут же заразить ПК

  • Файлы PDF

Формат позволяет создавать и выполнять скрипты JavaScript. А также в документах часто содержатся фишинговые ссылки

  • Документы Microsoft Office

Документы Word (.doc, .docx), электронные таблицы Excel (.xls, xlsx, .xlsm), а также презентации могут содержать вредоносные макросы

  • Образы дисков ISO и IMG

В виртуальных копиях CD, DVD или других дисков также могут быть зашиты вредоносные программы

В итоге, при исследованиях Positive Technologies на проникновение во внутреннюю сеть уходит 2 дня, а в 71% случаев срабатывает простой подбор учетных данных. Также идет рост на веб-сервисы организаций.

Если говорить по уязвимости, то в среднем в крупной организации выявляют 31 066 уязвимостей, из которых 57% опасные, а 3% - критичные. При этом разработчики ПО не спешат устранять уязвимости. Более 53% уязвимостей не были устранены в течение года после того, как исследователи обнаружили их.

12% уязвимостей было найдено в ПО, предназначенном для защиты организаций.

В 70% организаций замечена активность вредоносного ПО, которую пропустили базовые средства защиты. Проникнув внутрь, реализовать более 80% недопустимых событий удавалось практически в 100% исследований за 30 дней

И кибербезопасность во многих организациях "бумажная", в то время как злоумышленники используют и искусственный интеллект, имеют широкий набор инструментариев и развитое сообщество.

  • Игнорируем и не общаемся с подозрительными собеседниками. Ваш голос могут записать для последующего использования и подмены. Если необходимо – повесьте трубку и перезвоните по официальному номеру

  • При работе с почтой проверяем отправителей писем и ссылки внутри документов, не открываем подозрительные вложения и ссылки, не ведемся на «хайповые» темы писем (события, увольнения, премии)

  • Используем сложные пароли и не используем личные пароли на служебных ПК, а также не используем рабочую почту для регистрации на сторонних сервисах

  • Сопровождаем посетителей и говорим только то, что необходимо, без обмена новостями о внутренних событиях (в том числе в цифровом пространстве и на личных страницах)

  • По возможности игнорируем публичные WiFi и обязательно игнорируем WiFi без ввода пароля при подключении

  • Игнорируйте «срочность». Злоумышленники любят давить на неотложность ситуации и создавать стрессовые ситуации

  • Используйте двухфакторную аутентификацию

  • Обновляйте ПО на личном оборудовании

  1. Определить события и критерии для них, которые недопустимы. Например: кража более 1 млн, утечка клиентской базы, отказ насосов охлаждения более чем на 1 час и т.д.

  2. Определить связки «недопустимые события – процессы – ИТ-системы», которые могут привести к данным событиям

  3. Определить сценарии, которые могут привести к недопустимым событиям

  4. Проверить реальную защищенность организации и ее систем от неприемлемых событий, в т.ч. с помощью целевых пентестов

  5. Провести ретроспективное расследование на предмет старых взломов

  6. Выбрать отечественную систему защиты (особенно периметровые средства защиты и системы для центров мониторинга информационной безопасности)

  7. Усилить мониторинг, направленный на раннее обнаружение киберугроз и реагирование на них

  8. Активнее использовать облачные решения, которые изначально проектируются к условиям враждебной внешней среды

  9. Подойти к выстраиванию ИБ системным подходом, в т.ч.:

    1. включать в процесс технарей, HR, маркетинг, ТОПов

    2. проводить регулярное обучение персонала с киберучениями

    3. менять парольные политики

    4. формировать четкие требования к внешним поставщикам ПО на старте ИТ-проектов и проводить аудит решений через blackbox и в песочницах

    5. участвовать в открытых кибербитвах и т.д.

Ключевая задача – уйти от классического ИБ, когда пытаются защитить все и найти лучшие практики, к гарантированной защите от недопустимых событий

Презентация



Comments


bottom of page