На сегодня количество кибератак на информационные инфраструктуры бизнес-организаций продолжает увеличиваться. Злоумышленники изобретают новые способы нанесения ущерба компаниям и кражи данных, начиная с разработки и внедрения вредоносного программного кода, а заканчивая тактикой социальной инженерии.
Информационная безопасность для бизнеса играет одну из ключевых ролей. Обеспечение кибербезопасности корпоративной IT-инфраструктуры — сложная задача, требующая изучения современных тенденций защиты данных и средств борьбы с известными угрозами. В данном материале рассмотрим основные виды угроз, способные навредить бизнес-процессам предприятий.
Информационная безопасность — это совокупность политик, принципов и процедур, применяемых для обеспечения защиты цифровой информации. Обеспечение информационной безопасности организации подразумевает создание набора бизнес-процессов, защищающих информационные активы, вне зависимости от места хранения и вида форматирования данных.
Как правило, предприятия применяют стратегию информационной безопасности вместе с общей программой кибербезопасности. Применение данной стратегии предотвращает несанкционированный доступ к корпоративной информации и гарантирует ее доступность для доверенных лиц.
Принципы информационной безопасности часто обозначают аббревиатурой CIA, которая расшифровывается как конфиденциальность-целостность-доступность. Они выполняют роль руководства для составления политик и процессов защиты информации внутри бизнес-организации. Рассмотрим каждый из трех принципов более подробно:
Конфиденциальность. Определяет уровень допуска к данным. Корпоративная информация должна быть доступна только лицам, имеющим соответствующие права.
Целостность. Принцип, согласно которому данные являются последовательными, точными и заслуживающими доверия.
Доступность. Корпоративные данные должны быть легко доступны сотрудникам, имеющим соответствующие полномочия.
Рассмотренные три принципа не применяются изолированно. Стратегия обеспечения информационной защиты должна включать в себя все пункты, создавая необходимый баланс.
Для составления стратегии защиты корпоративной информации необходимо детальнее рассмотреть виды угроз информационной безопасности, которые являются наиболее актуальными на сегодня.
1. Вредоносные программные продукты
В современном мире известно много разновидностей вредоносных программ, которые, попадая в корпоративную сеть, способны отслеживать действия пользователей, отправлять конфиденциальные данные третьим лицам, способствовать более глубокому проникновению в информационную инфраструктуру предприятия и пр.
Для заражения вредоносным кодом злоумышленники используют разные способы, включая социальную инженерию, использование уязвимостей в операционных системах, браузерах и других программных продуктах. Основная цель хакеров — установить вредоносное ПО без ведома пользователя. К хакерскому ПО относятся:
вымогатели. Попадая в корпоративную сеть шифруют данные, сохраненные на аппаратных носителях, и предотвращают к ним доступ. Для получения доступа к информации требуют уплаты выкупа;
черви. Предназначены для использования уязвимостей и бэкдоров с целью получения доступа к операционным системам. Конечное предназначение таких программ может различаться. В частности, они используются для выполнения атак DDoS;
трояны. Попадают в систему путем обмана пользователей, заставляя их думать, что являются полезным файлом. Целью вирусов, как правило, является создание бэкдоров для дальнейшего их использования злоумышленниками;
шпионы. Используются хакерами для получения личной информации, в том числе учетных данных и платежных реквизитов. Могут взаимодействовать с десктопными программами, мобильными телефонами и браузерами для несанкционированного получения информации;
Wiper. Программные продукты, основной целью которых является перезапись целевых файлов или полное уничтожение файловой системы. Часто используются для сокрытия совершенных вредоносных действий;
бесфайловое вредоносное ПО. Основная особенность заключается в отсутствии необходимости выполнения установочного кода. Работают непосредственно в памяти устройства, что затрудняет обнаружение. Часто встраивают вредоносные функции в доверенные приложения, в том числе скрипты сценариев и PowerShell.
Данные угрозы информационной безопасности нацелены на психологические манипуляции пользователями с целью принуждения добровольно выполнить нужные злоумышленникам действия или передать конфиденциальную информацию. Рассмотрим наиболее распространенные виды и источники угроз информационной безопасности этого типа:
вредоносная реклама. Онлайн-баннеры с рекламой, контролируемые злоумышленниками, при клике на которые вредоносный код попадает на компьютер жертвы;
Scareware. Программы, маскирующиеся под полезные продукты. Имитируют полезную деятельность, например, поиск вирусов, после чего сообщают пользователю о ложном заражении и требуют оплату за чистку системы. Таким образом, хакерам удается завладеть платежными данными жертвы;
фишинг. Рассылка мошеннических сообщений, маскирующихся под полезную корреспонденцию от достоверных источников. Как правило, в письмах содержатся мотивирующие тексты для перехода по вредоносной ссылке. Часто в письмах присутствуют вложения, при открытии которых на компьютер жертвы попадает вредоносный код;
кража с накопителя. Хакеры взламывают веб-сайты и встраивают вредоносные скрипты в код. При посещении пользователем взломанной страницы код попадает на компьютер и, за счет уязвимостей операционной системы или браузера, выполняет выгрузку данных с накопителя;
прямое воздействие. Злоумышленники могут оказывать на сотрудников непосредственное психологическое воздействие и путем подкупа или шантажа провоцировать на разглашение конфиденциальной информации.
Хакер или группа злоумышленников получают доступ к корпоративной IT-инфраструктуре на длительный срок, отслеживая активность пользователей с целью завладения ценными данными. Обнаружить присутствие в системе злоумышленников — нетривиальная задача по причине использования последними сложных инструментов скрытия присутствия. К общим индикаторам присутствия APT относятся:
подозрительная активность. Мониторинг активности учетных записей сотрудников помогает выявить аномальное поведение, отличное от шаблонного. Повышенная активность может свидетельствовать о возникновении APT;
аномальная активность баз данных. Увеличение количества запросов в БД, частое появление новых записей или удаление существующих — еще один фактор, который может быть признаком нарушения кибербезопасности;
вредоносное ПО. Часто после несанкционированного проникновения в IT-инфраструктуру компании хакеры устанавливают в систему вредоносный код. При обнаружении такого ПО необходимо детально проанализировать остальные факторы APT;
необычные файлы в цифровом хранилище. При обнаружении подозрительных документов, установочных файлов либо других цифровых данных в хранилище необходимо провести тщательную проверку сети на признак взлома и наличия уязвимостей.
Атака типа отказ в обслуживании проводится с целью нарушения функционирования центрального сервера и корпоративной сети, путем отправки большого количества трафика, для обработки которого инфраструктуре недостаточно вычислительных ресурсов.
Стоит обратить внимание, что часто злоумышленники используют DDoS в качестве приманки. Пока специалисты службы безопасности заняты решением проблемы и восстановлением доступа, хакеры используют более тонкие инструменты и уязвимости, позволяющие украсть корпоративную информацию. Принято различать три метода DDoS:
TCP SYN-флуд. На целевую систему направляется большое количество запросов на подключение. Когда целевая система пытается завершить соединение, устройство злоумышленника не отвечает, что приводит к тайм-ауту подключения. Вредоносными запросами полностью заполняется пул соединений, не оставляя места для полезного трафика.
Smurf. Данный вид атаки осуществляется путем отправки эхо-запросов протокола управляющих сообщений интернета (ICMP) на IP-адрес жертвы. Для генерации запросов злоумышленники используют “поддельные” IP-адреса. Для вывода из строя целевой системы процесс отправки масштабируется и автоматизируется.
Ботнеты. Зараженные компьютеры, объединенные в одну общую систему, которой управляет злоумышленник. Используются для генерации трафика. В некоторых ботнетах количество зараженных устройств может составлять более миллиона единиц.
Принцип работы интернета основан на взаимодействии стороны клиента и сервера. При подключении к глобальной сети пользователь предполагает, что отправляет запросы непосредственно на сервер. Атака типа “человек посередине” предполагает стороннее вмешательство во время передачи пакетов данных таким образом, что сообщение перехватывается хакером до того, как оно достигнет адресата. MitM включат в себя:
подмену IP-адреса. Путем программных манипуляций хакер убеждает систему в подлинности адресата, что позволяет обойти инструменты защиты и перехватить сообщения;
Bluetooth-атаки. Включенный радиоканал Bluetooth может стать лазейкой для несанкционированного проникновения в систему. После успешного проникновения в компьютер или телефон жертвы хакеру становится доступна вся сохраненная информация, включая контакты, платежные данные и корпоративные учетные записи.
Атаки повторного воспроизведения. Киберпреступник подслушивает сетевое соединение и воспроизводит отправленное сообщение позднее, выдавая себя за пользователя. Количество таких атак удалось минимизировать за счет добавления временных меток к сетевым соединениям.
Злоумышленники получают доступ к паролям от учетных записей пользователей путем использования различных средств, включая технические инструменты и методы социальной инженерии. К распространенным способам кражи паролей относятся:
атаки по словарю. Чтобы получить несанкционированный доступ к системе, хакеры используют словари с общими, часто используемыми комбинациями символов. Один из методов заключается в копировании зашифрованного файла с паролями, применение идентичного способа шифрования к словарю регулярно используемых паролей и сопоставлении результатов;
брутфорс перебор. В данном случае подразумевается использование программных продуктов, позволяющих автоматизировать перебор различных паролей с целью угадать правильную комбинацию. Алгоритм работы ПО может включать в себя логику проверки комбинаций с добавлением сочетаний символов, связанных с личными данными жертвы, например, с именем, датой рождения, работой и пр.;
атака “золотого билета”. Начинается так же, как атака с передачей хеша, при которой в системе Kerberos (Windows AD) злоумышленник использует украденный хэш пароля для доступа к центру распространения ключей для подделки сертификата на выдачу хеш билетов (TGT).;
Pass-the-hash. Для захвата хеша пароля хакеры пользуются протоколом аутентификации в сеансе. После захвата пароль используется для доступа к сетевым ресурсам IT-инфраструктуры организации. В этих типах атак злоумышленнику не нужно расшифровывать хеш, чтобы получить простой текстовый пароль.
Данный тип кибератаки подразумевает использование доверенного программного обеспечения для получения несанкционированного доступа к корпоративной информационной инфраструктуре. Так как средние и крупные бизнес-компании сотрудничают со многими поставщиками программных продуктов и технологических решений, отследить источник угрозы бывает не всегда просто.
Рекомендуется обратить особое внимание на инструменты сетевого мониторинга, системы со служебными учетными записями и “умные” машины и устройства. Атака может быть произведена во многих местах IT-инфраструктуры. К основным ее типам относятся:
вредоносные программные продукты, подписанные с использованием украденных идентификаторов разработчика и сертификатов подписи ПО;
компрометация инфраструктуры разработки/тестирования или инструментов сборки программного обеспечения;
вредоносный код, установленный на оборудовании или компонентах встроенных прошивок;
компрометация устройств или учетных записей, принадлежащих привилегированным сторонним поставщикам;
вредоносные программные продукты, установленные на таких устройствах, как мобильные телефоны, твердотельные накопители, камеры видеонаблюдения и пр.
Информационная безопасность, виды угроз которой были рассмотрены выше, требует применения технологий машинного обучения.
Нейронные сети и искусственный интеллект в целом — это инструмент, который может использоваться как в благих, так и в корыстных целях. Технология используется и для разработки современных систем безопасности, и для их обхода.
Несколько лет назад доступ к технологиям машинного обучения могли получить только организации, обладающие достаточными финансовыми ресурсами. Однако сегодня разработкой моделей можно заниматься, используя даже просто персональный ноутбук.
Такой уровень доступности искусственного интеллекта делает его инструментом, который превратился из причины гонки цифровых вооружений в способ проведения кибератак на государственные учреждения и бизнес-организации. В то время, как службы безопасности используют технологии машинного обучения для обнаружения подозрительной активности в компьютерных сетях, злоумышленники применяют их для создания ботов, способных имитировать поведение живого человека, а также динамического изменения характеристик и поведения вредоносных программных продуктов.
Сегодняшняя ценность информации делает ее желанным товаром и заманчивой мишенью для воровства и саботажа, подвергая бизнес-предприятия риску кибернападения. Это может повлечь за собой не только финансовый ущерб, но и непоправимые репутационные потери. Злоумышленники с каждым днем изобретают новые инструменты и способы обхода существующих систем защиты от кибератак, а разработчики систем безопасности продолжают работу над тем, чтобы оставаться впереди хакеров, создавая более интеллектуальные решения для борьбы с киберугрозами.
Утечка корпоративных конфиденциальных данных может нанести бизнесу непоправимый вред. Однако, используя современные технологии и инструменты для принятия превентивных мер предосторожности, возможно минимизировать риски и угрозы кибербезопасности.
В данном материале было рассмотрено что такое угроза информационной безопасности и какие актуальные виды угроз существуют на сегодня. Данная информация необходима при разработке эффективной стратегии кибербезопасности предприятия. Она поможет принять правильные меры для предотвращения хакерских атак и минимизации последствий попыток несанкционированного проникновения в информационную инфраструктуру предприятия.
