Шесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / Хабр

Шесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / Хабр Аналитика

Более половины российских компаний беспокоятся о защите пдн сотрудников и клиентов

17 января 2020 года стало известно, что более половины российских компаний беспокоятся о за­щите пер­со­наль­ных дан­ных сотрудников и клиентов. Об этом сообщили в компании Eset по итогам своего исследования. Так, разные виды ки­беруг­роз затронули 90% предприятий.

Чаще всего российский бизнес сталкивается со спамом. Это отметили в опросе Eset 65% респондентов. На втором месте – вредоносное ПО, 47%. 22% опрошенных сообщили, что их компании становились жертвами фишинговыхатак, 21% пострадали от DDoS-атак и 35% – от шифраторов.

По информации Eset, 54% опрошенных волнует безопасность баз контактов, сведений о клиентах и партнерах, 55% считают, что в особой защите нуждается финансовая информация.

Для обеспечения информационной безопасности компании в основном прибегают к антивирусам для защиты рабочих станций – 90% организаций; 53% устанавливают контроль за обновлением ПО; 45% следят за внешними носителями.

Eset выяснил, что 58% респондентов удовлетворены уровнем безопасности в их компаниях и считают, что принимаемых мер достаточно. 5% задумываются об увеличении бюджета на информационную безопасность.

Директор управления информационных технологий Eset Russia Руслан Сулейманов считает, что в 2020 году в целом ситуация в отрасли ИБ сильно не изменится. Основными способами проникновения вредоносного ПО в корпоративную сеть останутся спам и фишинг.

Кроме того, 14 января 2020 года завершилась поддержка серверных систем Windows 2008 и Windows 2008 R2. Их использует множество компаний среднего и малого бизнеса. По словам Руслана Сулейманова, в 2020 году останется актуальным тренд на мощные и частые DDoS-атаки на корпоративный сектор, а также сохранится опасность дипфейков.

Консультант центра информационной безопасности «Инфосистемы Джет» Елена Агеева отмечает среди угроз, актуальных для российских компаний в прошлом году, социальную инженерию, атаки вирусов-вымогателей и криптомайнеров, а также утечки персональных данных.

В 2021 году наблюдался заметный рост фишинговых атак и распространения вредоносного ПО, в том числе и вирусов-вымогателей. По данным InfoWatch, в России главной угрозой для личной информации клиентов компаний были и остаются рядовые сотрудники. На их долю приходится более 70% нарушений, приведших к утечкам.

Руководитель отдела аналитики и спецпроектов InfoWatch Андрей Арсентьев полагает, что дальнейшее развитие в 2020 году получат фишинговые атаки. По мере развития технологий искусственного интеллекта возрастает риск использования методов deepfake для проведения атак на компании, в том числе с целью нанести серьезный удар по репутации бизнеса.

Постепенно сфера безопасности личной информации в России приближается к западной практике. Как следствие, бизнес все острее начинает ощущать проблемы, связанные с утечками. Регуляторы ужесточают ответственность, потеря данных сказывается на лояльности клиентов, многие утечки приводят к прямым финансовым потерям и больно бьют по репутации. На это обращает внимание Андрей Арсентьев.

Согласно исследованию «Лаборатории Касперского», российские компании, действительно, очень озабочены необходимостью не допустить утечки данных, а также защищать инфраструктуру от целевых атак. В 2021 году организации сталкивались с заражениями вредоносным ПО корпоративных (43%)

и BYOD-устройств (37%), а также проблемой утери сотрудниками их устройств (33%). В 2020 году компании планируют начать проводить обучение сотрудников правилам кибербезопасности, внедрять сервисы для реагирования на киберинциденты и защиты от целевых атак. О том, что такие решения используют в организациях, сообщила почти треть опрошенных.

По словам руководителя группы системных архитекторов «Лаборатории Касперского» Дмитрия Стеценко, все большую популярность набирают практически не выявляемые стандартными защитами атаки через цепочки поставщиков (supply chain) и BEC (Business Email Compromise).

По данным отчета Positive Technologies, одним из ключевых трендов рынка кибербезопасности в 2021 году были утечки данных – наряду с целенаправленными атаками (APT-атаками) и поиском аппаратных уязвимостей.

По его мнению, с точки зрения техник компрометации в 2021 году злоумышленники чаще всего использовали фишинг и вредоносное ПО.

Кибератаки с целью кражи информации преобладают над другими взломами. По информации Positive Technologies, в III квартале 2021 года 61% кибератак направлен именно на хищение данных. В каждой четвертой кибератаке украдены персональные данные сотрудников или клиентов компании.

«В 2020 году бизнес будет оставаться в зоне повышенного риска как массовых киберкампаний, так и целевых атак группировок. Хакерам придется прибегать не только к изощренному фишингу и созданию более совершенных образцов ВПО, но и к взлому менее защищенных компаний, аффилированных с целевыми для злоумышленников организациями. Атаки с целью кражи информации будут преобладать над атаками с целью непосредственных финансовых хищений. Причем, как предполагает он, целевые атаки будут преобладать над массовыми. Это связано с тем, что организации из любой отрасли стараются максимально обезопасить себя от финансовых потерь и продумывают такие риски в первую очередь. А инцидент с хищением данных может и вовсе остаться незамеченным длительное время, особенно если в компании не обеспечивается постоянный мониторинг событий ИБ и расследование киберинцидентов»[3],


отметил Евгений Гнедин, руководитель отдела аналитики Positive Technologies

Бюджеты на кибербезопасность выросли на 20%, но компании не успевают их тратить

19 декабря 2021 года компания Positive Technologies сообщила, что в России в 2021 году запланированные бюджеты на кибербезопасность выросли в среднем на 20%, но компании не успели их израсходовать. Причина — необходимость проходить длительные конкурсные процедуры: компании просто не успевают закупить те средства защиты, которые им необходимы.

Помимо этого, эксперты Positive Technologies отмечают, что среди топ-менеджмента отечественных компаний сформировался запрос на практическую информационную безопасность. Однако компании, которые ставят перед собой цель реально защитить себя в киберпространстве, сталкиваются с тотальным дефицитом кадров, имеющих достаточный уровень знаний и навыков.

Все более востребованы становятся специалисты, обладающие сразу несколькими компетенциями, например совмещают знания в сфере кибербезопасности со знаниями в области data science или АСУ ТП. Бизнес осознает нехватку таких специалистов у себя в штате и приходит к аутсорсингу или аутстаффингу, а в некоторых случаях даже вынужден самостоятельно обучать такого рода кадры.

В числе ключевых тенденций, сформировавшихся в 2021 году, эксперты Positive Technologies отметили следующие:

  • Безопасная разработка в тренде. Для производителей финансовогоПО обязательное прохождение анализа уязвимостей становится конкурентным преимуществом. Многие разработчики банковского ПО говорят о заключении договоров с ведущими компаниями в сфере ИБ на работы по анализу исходного кода. В Positive Technologies ожидают, что в течение ближайших двух–трех лет выстраивание доказуемого цикла безопасной разработки для производителей банкового ПО станет мейнстримом.
  • Преимущество на стороне злоумышленников. Соотношение сил между преступниками и защитниками складывается не в пользу последних. Например, между использованием новейших техник взлома и внедрением новейших средств защиты может пройти до трех лет. А если сравнивать скорость использования новых уязвимостей и скорость выпуска исправлений, победа практически всегда на стороне злоумышленников, которые адаптируют новейшие эксплойты для своих атак иногда в течение суток.
  • Госсектор под ударом. Государственные учреждения по всему миру находятся под прицелом сложных целенаправленных атак. По данным Positive Technologies, 68% APT-группировок, исследованных специалистами экспертного центра безопасности Positive Technologies, атакуют государственные учреждения. В 2021 году эксперты PT ESC выявили группировку Calypso, специализирующуюся именно на атаках госучреждений в разных странах. На руку киберпреступникам играют применение базовых средств защиты, неграмотность сотрудников в вопросах ИБ, а также публичность информации о госзакупках защитного ПО.
  • Массовые атаки на финсектор теряют смысл. Общее число атак на финансовые организации снизилось. Это может объясняться существенным снижением доли массовых атак на такие учреждения. Большинство банков, особенно крупные, готовы эффективно отразить массовую атаку (например, рассылку шифровальщика), и хакеры сконцентрировали свое внимание на других, менее защищенных отраслях. При этом число целенаправленных атак остается на прежнем уровне. Эксперты также отмечают увеличение числа мошеннических операций с бесконтактной оплатой: в основном это связано с операциями ниже лимитов CVM (Cardholder Verification Method), при которых пользователю для подтверждения транзакций не нужно вводить PIN.
  • Преступники объединяют утечки разных лет и продают на теневом рынке оптом. Причем злоумышленникам, распространяющим за деньги такие полные цифровые досье, вовсе не нужно быть хакерами, достаточно просто грамотно переработать информацию об имеющихся в истории той или иной компании утечках. Подобные инциденты сказываются прежде всего на репутации компании, допустившей утечку.
  • Аппаратные уязвимости диктуют бизнесу смену модели угроз. Два последних года показали только верхушку айсберга аппаратных уязвимостей, их поиск стал настоящим трендом среди исследователей, которые переходят на все более низкий уровень, ищут (и находят!) уязвимости на уровне печатной платы, элементов аппаратной логики. Крупные компании осознают масштаб проблемы, закладывая такие уязвимости в свою модель угроз; в частности, инвестируют в разработку защитного оборудования и в обучение персонала.
Дополнительный анализ:  Analytics Boutique news and analysis articles -

Среди возможных негативных сценариев 2020 года эксперты Positive Technologies отмечают:

  • Схемы киберуслуг на продажу будут развиваться. Так, может приобрести большую популярность схема «доступ как услуга» (access as a service), при которой злоумышленники, взломавшие инфраструктуры компаний, продают или сдают такой доступ в аренду другим участникам теневого рынка.
  • Промышленный кибершпионаж продолжится. Атаки с целью шпионажа на промышленный и топливно-энергетический сектор могут стать продолжением тех атак, которые были успешно проведены ранее. При этом компании научатся их выявлять. Этому будут способствовать не только требования регуляторов к защите КИИ, но и осознание руководством промышленных и энергетических компаний необходимости строить действительно эффективную ИБ.
  • Под угрозой могут оказаться выборы в США. Как показало исследование умных урн для голосования, такие системы крайне слабо защищены и могут быть легко взломаны киберпреступниками. В преддверии президентских выборов в США стоит также ожидать резонансных кибератак, которые будут направлены на дефейс сайтов политических партий и кандидатов в президенты. Кроме того, можно ожидать попыток повлиять на общественное мнение через социальные сети, утверждают в Positive Technologies.
  • Внедрение сетей 5G сулит операторам новые риски. В современном мире в любой сети злоумышленник может вывести из строя элементы умного дома или промышленного IoT. С распространением сетей 5G и развитием интернета вещей увеличится и масштаб угрозы, жертвами кибератаки могут стать подключенные автомобили или системы жизнеобеспечения города. До тех пор, пока реальные сети 5G построены на базе сетей прошлых поколений, все недостатки их защиты будут актуальны и для абонентов 5G.
  • Вырастет число атак на пользователей интернет-ресурсов. Бурный рост рынка электронной коммерции будет провоцировать взломщиков на новые изощренные атаки на частных лиц с использованием веб-уязвимостей, в том числе обусловленных ошибками при разработке кода, которые в 2021 году составили 82% от общей доли уязвимостей веб-приложений.
  • Новостей об утечках станет больше. Участятся случаи продажи данных пользователей — не только украденных, но и скомпилированных из предыдущих утечек. В Positive Technologies предполагают, что утечки баз данных будут все чаще освещаться в СМИ.
  • Хакеры сосредоточатся на атаках мобильных финансовых приложений. Скорее всего, преступников будут интересовать уязвимости, связанные с раскрытием информации о пользователях, в связи с чем можно ожидать новостей об утечкахперсональных данных и данных банковских карт.

Директор по безопасности – “аналитика безопасности”

бъективная ограниченность 

сил и средств, выделяемых 

из бюджета хозяйствующего 

субъекта (ХС) на решение задач его 

экономической безопасности, вынуж-

дает сосредоточить основное внимание 

служб безопасности на плоскости реа-

лизации профилактических мер пре-

дотвращения негативных последствий.

Целью информационно-аналити-

ческого обеспечения является свое-

временное предоставление руковод-

ству ХС исчерпывающей и достовер-

ной информации о внешних и вну-

тренних угрозах деятельности своего 

предприятия для принятия обоснован-

Объективная ограниченность сил и средств, выделяемых из бюджета хозяйствующего субъекта (ХС) на решение задач его экономической безопасности,Шесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / Хабр вынуждает сосредоточить основное внимание служб безопасности на плоскости реализации профилактических мер предотвращения негативных последствий.

Целью информационно-аналитического обеспечения является своевременное предоставление руководству ХС исчерпывающей и достоверной информации о внешних и внутренних угрозах деятельности своего предприятия для принятия обоснованных управленческих решений, направленных на достижение и поддержание конкурентных преимуществ в процессе функционирования последнего (информационная поддержка принимаемых решений).

Практический опыт позволил определить основные задачи информационно-аналитического обеспечения: сбор, обработка, анализ, прогнозирование и выдача информации о рынках; изучение конкурентов, их устремлений и методов конкурентной борьбы; изучение криминогенной обстановки в регионе, городе, районе; изучение партнеров, клиентов, их платежеспособности и кредитоспособности; выявление намерений криминальных структур в отношении хозяйствующего субъекта;

выявление степени осведомленности конкурентов о хозяйствующем субъекте с учетом имеющихся каналов утечки информации; постоянный мониторинг всех подсистем и звеньев хозяйствующего субъекта по вопросам обеспечения безопасности; аудит безопасности хозяйствующего субъекта; выдача руководству рекомендаций на основе анализа обстановки и прогнозирования. В основе информационно-аналитического обеспечения лежат силы, средства, методы и действия(табл. 1).

В качестве основного объекта исследований аналитиков, как правило, выступает конкурентная среда, в которой действуют юридические лица–участники рынка или физические лица – их руководители. В качестве объектов исследований могут также рассматриваться документы, образцы товаров, виды услуг, события, научнотехнические достижения, отношения между людьми и т. д. 

В настоящее время в условиях конкурентной борьбы в негосударственном секторе экономики существует два направления разведывательной (аналитической) деятельности:

• разведка, проводимая с легальных позиций, – деловая разведка;

• разведка, проводимая с нелегальных позиций, – промышленный шпионаж.

Эффективная работа деятельности подразделения деловой разведки зависит от следующих основных факторов: ясное понимание требований заказчика; тщательное планирование процессов сбора информации и анализа; информирование заказчика о результатах исследований.

Порядок ведения деловой разведки. В основе системы ДР лежит так называемый разведывательный цикл, в результате которого «сырая» информация превращается в аналитические данные, опираясь на которые руководитель принимает решение.

Основными атрибутами разведывательного цикла являются непрерывность, возможность адаптации к задаче, модульность построения.

Основные этапы информационноаналитической работы (вариант разведывательного цикла) представлены нарис. 1. 

Шесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / ХабрШесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / ХабрШесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / ХабрШесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / ХабрЭтап 1. Обоснование целесообразности проведения информационноаналитического исследования.

 Важнейшими задачами на данном этапе работы являются нижеследующие.

• Выяснение потребности руководителя в профильной информации, опираясь на которую будет принято оптимальное управленческое решение относительно сложившейся ситуации. 

• Следующей важной задачей на данном этапе становится проведение аудита предлагаемого задания на отсутствие криминальных и противоправных действий. 

• Определение временных рамок на проведение исследования, а также фактических возможностей исполнителей уложиться в определенные сроки.

• Предварительная оценка затрат ресурсов для проведения исследования. 

• Выявление возможных ограничений в деятельности заказчика и негативных для него последствий в связи с проведением разведывательных мероприятий.

• Принятие решения о проведении исследования или отказе от разведывательных мероприятий и ряд других.

Этап 2. Определение целей, задач, порядка проведения исследования.

На этом этапе необходимо четко сформулировать промежуточные задачи, точно оценить трудоемкость предстоящей работы, выявить приоритетные информационные источники, определить сроки выполнения работы, оценить еe итоговую стоимость, подобрать коллектив исполнителей.

Планирование и организация работы могут не только начинать, но и завершать цикл разведки, так как за получением разведывательных сведений компания предпримет какие-то действия, в результате которых сложится иная ситуация, открывающая новые возможности. Например, если тактический план, для поддержки которого использовались разведывательные сведения, выполнен, компании, возможно, потребуется новая тактика. Следовательно, возникнет необходимость в получении новых сведений.

Этап 3. Получение вторичной информации.

На этом этапе производится поиск, сбор и предварительная качественная оценка полученной «сырой» информации, на основе которой будут готовиться аналитические материалы. Эта оценка качественных характеристик информации (достоверности, актуальности, полноты и др.) осуществляется на основе метода Кента. Собранная информация индексируется, классифицируется и вводится в базу данных в соответствии с рубрикатором.

Существуют активные и пассивные методы сбора информации. К пассивным будем относить методы получения информации из печатных и электронных СМИ, баз данных, сети Интернет, патентов, рекламных сообщений и т. д. (без участия человека). К активным – методы получения информации путем опроса, интервью, наблюдения и т. д. (в качестве источника информации выступает человек). На этом этапе также проводится предварительная оценка и обработка информации, что позволяет, при необходимости, передавать и хранить ее в электронном виде, удобном для последующего анализа.

 Источниками исходной информации в ДР рассматривается открытая информация, содержащаяся в: средствах массовой информации (СМИ), специализированных журналах, отчетах НИР, статьях, сборниках трудов конференций, справочниках, правовых документах, патентах, рекламе и других печатных и рукописных изданиях; информационных массивах сети Интернет, профессиональных БД, электронных версиях печатных изданий, CD-ROM и иных источниках, представленных в электронной форме; иных информационных источниках.

Как показывает практика, основная часть искомой информации может быть получена из открытых источников, доступных каждому, без нарушения принятых в обществе правовых и этических норм. 

 Первичная информация представляет собой достоверные факты, полученные непосредственно от источников информации, в качестве которых могут выступать руководитель компании, его заместители, правительственное информационное агентство, любые лица или организации, имеющие непосредственный доступ к достоверной информации или непосредственно ее создающие.

Примерами первичной информации могут служить: выступление президента компании, в котором он сообщает о своих планах, финансах, применяемой технологии или о других важных фактах, связанных с деятельностью компании; ежегодные отчеты и другие внутрифирменные информационные материалы, отчеты по биржевым операциям, стенографические записи совещаний и другие.

Дополнительный анализ:  Акции GAZP — цена и графики (MOEX:GAZP) — TradingView

Первичные источники обеспечивают исходную ключевую информацию для деловой разведки. Доступ к первичным источникам должен стать важной задачей службы ДР.

Вторичная информация – обработанная информация. Ее находить, как правило, легче, чем первичную, и иногда это единственный вид информации, который можно получить об исследуемом объекте.

Вторичная информация поступает из таких источников, как газеты, журналы, теле- и радиопередачи; академические отчеты, тезисы докладов, аналитические обзоры о деятельности компаний.

Отличие первичной информации от вторичной состоит в том, что первичная – как правило, «сырая», необработанная и обычно завершенная, в то время как вторичная – выбираемая из огромного количества самых разнообразных информационных источников.

Этап 4. Обработка и систематизация вторичной информации.

На данном этапе разведывательного цикла активно осуществляется компьютерная обработка информации, что существенно облегчает дальнейшие процедуры ее анализа и хранения. Вместе с тем следует отметить широкое распространение фрагментов информации на бумажных носителях. Важным условием реализации этого этапа деловой разведки является широкое использование новых информационных технологий, обеспечивающих поиск и сбор информации.

Этап 5. Предварительный (первичный) анализ полученных данных. Шесть наиболее действенных платформ анализа информации об угрозах для ваших команд безопасности / Блог компании ROI4CIO / Хабр

Этап состоит из обработки собранных на предыдущем этапе «сырых» данных, полученных из самых различных независимых информационных источников, и подготовки на их основе аналитических материалов (анализа информации), используемых для принятия решений(рис. 2).

Информацию, на основе которой принимаются важные управленческие решения, можно оценить качественно. Качественная информация должна отвечать некоторым основным требованиям.

Информация должна быть актуальна, т. е. она должна отвечать на те вопросы, которые поставлены перед аналитиками руководством предприятия. Лучшей деловой информацией является та, которая носит упреждающий характер, т. е. касается будущих событий и явлений. Такая информация позволяет предвидеть действия, которые еще не совершились, но наверняка произойдут. В этом случае руководство предприятия имеет возможность заранее спланировать свои шаги, скорректировать позиции.

Достоверной называется такая информация, которая не будет видоизменяться или (в других случаях) искажаться при помощи общественного мнения или специального выбора. Под специальным выбором понимается «выдергивание» необходимой цитаты и употребление ее в «нужном» для СМИ месте. Этот прием широко используется средствами массовой информации в политической борьбе.

Релевантность – качественная характеристика информации, отражающая степень ее приближенности к существу исследуемого вопроса или степень ее соответствия поставленной перед субъектом деловой разведки задаче.

Полнота – качественная характеристика информации, отражающая степень достаточности сведений, необходимых для получения истинного представления об объекте исследования. 

Схема проведения качественной оценки информации, известная как схема Кента, представлена Вашингтоном Плэттом. Для оценки надежности источника сведений и достоверности самих сведений применяется специальная градация (табл. 2).

По такой же схеме могут оцениваться и другие характеристики информации, такие как полнота, ценность, актуальность, релевантность и др.

Важнейшее значение имеет и такая характеристика информации, как «старение». Необходимо обязательно учитывать и указывать временной интервал, в течение которого действительны те или иные оценки (рис. 3). По данным А. Макиенко, оперативно-тактическая информация теряет ценность примерно по 10 % в день (например, в ситуациях предупреждения вымогательства, выдачи краткосрочного кредита, предложения приобрести партию товара в срок до 1 месяца, места нахождения руководителей предприятия, планы текущей деятельности, размер средств на счетах предприятия, курс валют).

Информация стратегического, долговременного характера теряет ценность примерно по 10 % в месяц (сведения о крупных торговых партнерах, преступных синдикатах, программах развития административно-территориальных единиц, среднесрочных проектах, ближайших производственных планах, завершенных контрактах и т. д.). 

Информация о неизменных (малоизменяемых) объектах (промышленная инфраструктура, природные ресурсы, транспортная сеть, ландшафт) теряет ценность примерно по 15 % в год.

Этап 6. Подготовка предварительного (первичного) отчета.

Основной формой предварительного информационного документа может быть доклад (краткая информационная справка).

В предоставляемых руководителю материалах должна содержаться информация, отражающая: основные результаты проведенного исследования; сведения о затраченных силах, средствах, ресурсах; выводы относительно правильности выбранного пути исследования; обоснования необходимости корректировки плана исследования (шаг Б, рис. 1); появление обстоятельств, делающих продолжение исследования нецелесообразным, требующих отказа от дальнейшего исследования (шаг Г, рис. 1); выводы, рекомендации и предложения, касающиеся дальнейшего продолжения исследования.

Выводы совершенно необходимы для того, чтобы информационный документ имел законченный вид и мог быть максимально полезным.

Этап 7. Оценки предварительной работы и принятие решения о необходимости получения дополнительных сведений из вторичных источников.

На этом этапе производится оценка имеющихся данных и, при необходимости, даются рекомендации относительно корректировки плана исследования, отказа от дальнейшего исследования, или предложения, касающиеся дальнейшего продолжения исследования.

Этап 8. Получение первичной информации.

На этом этапе производится поиск, сбор и предварительная качественная оценка информации, полученной из первоисточников. Собранная информация индексируется, классифицируется и вводится в базу данных аналитической службы в соответствии с рубрикатором. На данном этапе, как и на этапе 3, проводится всесторонняя оценка полученных сведений.

Этап 9. Обработка и систематизация первичной информации.

Собранная первичная информация оценивается по различным критериям, аналогичным этапу 4. Каждому фрагменту информации (содержащему факт, сообщение и т. д.) присваивается определенная классификация, и далее этот фрагмент помещается в базу данных аналитической службы предприятия.

Этап 10. Анализ первичной и вторичной информации.

Аналитик оценивает и сопоставляет ее с уже имеющейся в базах данных службы ДР и готовит возможные варианты и сценарии развития событий. Анализ информации можно определить как процесс переработки «общей» информации (information), часто фрагментарной и неполной, в разведывательные сведения или знания (intelligence).

К 2025 г. появятся полноценные кибертехнологии для убийства людей на предприятиях

Согласно прогнозу исследовательской компании Gartner, технологическое оснащение киберпреступников к 2025 г. позволит им проводить целенаправленные атаки на предприятия с конкретной целью причинения увечий и убийства людей. Об этом стало известно 21 июля 2021 года.

Аналитики прогнозируют, что использование киберпреступниками военизированных операционных технологий и других киберфизических систем только с учетом случаев смертельного исхода к 2023 г. нанесет ущерб по всему миру на сумму более $50 млрд.

По мнению аналитиков, даже если не бы не пришлось говорить о ценности человеческой жизни, затраты компаний на судебные разбирательства, компенсационные выплаты, страхование, выплаты штрафов регулирующим органам будут значительными, не говоря о гигантских репутационных потерях. В компании прогнозируют, что большинство руководителей будут нести личную ответственность за такие инциденты.

Атаками киберпреступников на ИТ-инфраструктуру предприятий в Gartner называют стороннее злоумышленное воздействие на комплексы аппаратного и программного обеспечения, которые отслеживают или контролируют работу промышленного оборудования.

На фоне цифровизации и внедрения автоматических процессов на производстве, военизированные операционные технологии также проходят свой путь эволюции, отмечают аналитики – от инцидентов для временной остановки технологического процесса на заводе до нарушения целостности промышленной среды и целенаправленного причинения физического ущерба.

В Gartner классифицируют инциденты безопасности в среде операционных технологий по трем основным классам мотивации: для нанесения фактического ущерба; в целях коммерческого вандализма, ведущего к снижению производительности; в целях репутационного вандализма, в итоге чего производитель признается ненадежным и не заслуживающим доверия.

Для повышения безопасности на промышленных объектах и предотвращения цифровых кибератак с целью повреждения оборудования или нанесения физического ущерба сотрудникам, в Gartner разработали десять рекомендаций, которые изложены в документе Reduce Risk to Human Life by Implementing this OT Security Control Framework («Снижение риска для жизни людей за счет реализации концепции контроля безопасности операционных технологий»).

Специалисты Gartner рекомендуют назначить менеджера по безопасности операционных технологий для каждого промышленного или производственного объекта. Менеджер должен отвечать за распределение и документирование ролей и обязанностей, связанных с безопасностью, для всех сотрудников, старших менеджеров и любых третьих лиц, имеющих доступ к объекту.

Каждый сотрудник, имеющий отношение к операционным технологиям, обязан обладать необходимыми навыками для выполнения своих обязанностей. Работники на каждом объекте должны быть обучены распознавать и оценивать риски безопасности, наиболее распространенные направления распространения атак, а также натренированы на совершение конкретных действий в случае инцидента безопасности.

Для каждого объекта предприятия должен быть внедрен специальный протокол управления инцидентами безопасности операционных технологий. В него должно входить четыре этапа: подготовка; обнаружение и анализ; локализация, ликвидация и восстановление; действия после инцидента.

Дополнительный анализ:  Работа: Аналитик иб в Москве — Август 2021 - 229 вакансий |

ИТ-инфраструктура предприятия должна быть оснащена надлежащими механизмами резервирования и аварийного восстановления данных. Чтобы избежать влияния физических деструктивных событий – например, пожара, следует хранить носители резервных копий отдельно от резервной системы.

Носители резервной копии должны иметь защиту от несанкционированного доступа или неправомерного использования. Для исключения фатальных событий по итогам инцидентов высокой степени серьезности, должна быть обеспечена возможность восстановления резервной копии в новой системе или виртуальной машине.

На предприятии должна быть внедрена политика обязательного сканирования всех портативных носителей данных, включая USB-накопители и портативные компьютеры, вне зависимости от принадлежности устройства сотруднику или стороннему посетителю – например, представителю субподрядчика или производителя оборудования.

К среде операционных технологий могут быть подключены только проверенные носители без вредоносного кода или нежелательного ПО.

Менеджер по безопасности должен производить инвентаризацию оборудования и ПО, задействованного в среде операционных технологий, и постоянно обновлять этот список актуальными данными.

Сети среды операционных технологий должны быть физически или логически отделены от любой другой сети – как внутри, так и снаружи периметра ИТ-инфраструктуры предприятия. Весь сетевой трафик между операционными технологиями и остальной частью сети должен осуществляться через безопасный шлюз, при этом сессии взаимодействия с операционными технологиями должны происходить с многофакторной аутентификацией на шлюзе.

Для автоматической регистрации и анализа потенциальных и фактических событий безопасности на предприятии должны быть внедрены соответствующие политики и процедуры. Они должны четко определять сроки хранения журналов безопасности и быть защищены от несанкционированного доступа или модификации.

Для всех систем, применяемых в среде операционных технологий – таких как рабочие места, серверы, сетевые устройства и устройства для выездной работы, должны быть разработаны, стандартизированы и развернуты безопасные конфигурации. ПО для безопасности рабочих мест – такое как антивирусы, должно быть установлено на всех поддерживаемых компонентах среды операционных технологий.

До развертывания среды операционных технологий необходимо внедрить процесс проверки и установки обновлений. После верификации производителями оборудования, обновления могут быть развернуты в соответствующих системах с заранее заданной периодичностью[2].

Реальные примеры незащищенности ит-систем крупных компаний

При проведении аудита информационной безопасности эксперты сталкиваются со множеством самых разных уязвимостей. Некоторые из них вызывают как минимум удивление, даже притом, что испытывать какие-либо иллюзии специалистам по ИБ уже давно не свойственно.

В октябре 2021 года TAdviser получил от экспертов обзор, в котором приводится несколько особо выдающихся примеров того, насколько небезопасны могут быть системы крупных и состоятельных коммерческих компаний.

Тут нужно оговориться, что все эти компании имеют более чем адекватное понимание необходимости защищать свои внутренние ресурсы. В этом отношении компании следуют установленным best practices и регламентированным стандартам в сфере информбезопасности.

Однако в ходе скрупулёзного тестирования внутренних систем «в ручном режиме» выявлялись различные архитектурные промахи, обеспечивавшие потенциальным хакерам широчайшие возможности для компрометации.
Все приведённые примеры — совершенно реальны. По само собой разумеющимся причинам названия конкретных фирм и организаций приводиться не будут.

Эпизод I: Крупная страховая компания обращается с просьбой провести аудит её внутренних систем. Таковых сразу несколько. Отдельная система отвечает за учёт данных, другая — за генерацию отчётности, третья — за введение операционной деятельности и так далее.

В процессе исследования эксперты натыкаются на ряд уязвимостей, позволяющих проводить целый ряд мошеннических действий в обход действующих инструментов разграничения доступа и нанести немалый ущерб всему бизнесу компании.

Например, одна из таких архитектурных уязвимостей позволяла красть авторизационные токены и использовать их для проведения атаки типа межсайтовой подделки запроса, притом что эти токены как раз и нужны для защиты от подобных атак. Проблема была в том, что в старом Java-приложении, написанном ещё в прошлом десятилетии, отсутствовала защита от CSRF-атак; разработчики не захотели полностью отказываться от этого приложения, вместо этого в него интегрировали готовое стороннее решение для защиты от CSRF, однако несмотря на эти изменения система осталась порядком уязвимой.

Как следствие, злоумышленник мог либо скрытно создавать в системе аккаунты с администраторскими полномочиями, либо захватывать большое количество учетных записей и совершать из-под них реальную операционную деятельность.

В частности, существовала возможность обходить верхний лимит страхового возмещения: сумма компенсации проверялась только на стороне клиента, серверная часть спокойно принимала значения, посланные с приложения-клиента. Под контролем злоумышленника могло оказаться множество учётных записей, и мошеннические действия он мог совершать из-под любой из них или даже сразу нескольких, что заметно затрудняло бы расследование инцидента.

Потенциально всё вместе это могло означать огромный ущерб, причём не только финансовый, но и репутационный.

Эпизод II: Крупная сервисная компания, предоставляющая услуги швейцарским телекомам, запрашивает проверку интернет-приложения, написанного для своих сотрудников.

Это приложение оказалось весьма проблемным само по себе. Уязвимости носили преимущественно типичный характер; некоторые недочёты были связаны с использованием «умолчательных» настроек, которые надо было менять при каждом развёртывании приложения.

Например, по умолчанию пользователям был доступен не только функционал SCP (Secure Copy), но и shell-доступ. Его необходимо было отключать, однако этого сделано не было.

Однако в процессе дальнейших исследований выявилось немало проблем с настройками серверов, обеспечивавших злоумышленникам самые широкие возможности.

Например, на сервере настройки фаерволла отсутствовали, что означало возможность инициировать любые соединения, входящие и исходящие, без ограничений; сохранялась активной функция проброса портов (port forwading), а это, по сути, аналог VPN-канала внутрь сети всей организации.

В целом при наличии доступа к аккаунту рядового сотрудника злоумышленник мог бы авторизоваться по SSH на одном из серверов компании (при этом у него появлялась ещё и возможность повысить свои привилегии до уровня суперпользователя) и развивать атаку на внутренние системы фирмы. Со всеми вытекающими.

Эпизод III: Сеть гипермаркетов запросила тестирование своего приложения для программы лояльности.
Как и у многих других крупных торговых сетей, у нашего клиента существует собственная программа лояльности, с мобильным приложением в качестве одного из основных инструментов, и собственная платёжная система.

Как выяснилось, в этой программе лояльности существуют весьма серьёзные уязвимости, позволяющие, в частности, компрометировать пользовательские аккаунты, подбирать секретные коды защиты, используемые при аутентификации платежей.

Была выявлена также проблема с проверочными транзакциями, которые осуществляются при привязке кредитной карты пользователя к программе лояльности. Как оказалось, такие транзакции (объёмом в один евроцент) можно проводить многократно, причём единственным ограничением на такой вывод средств могут послужить лишь фрод-мониторинг на стороне платёжного процессинга владельца карты. Если антифрод-средств нет, то нет и ограничений на количество таких транзакций.

Эксплуатация этой уязвимости могла бы означать огромный репутационный ущерб для торговой сети.

Эпизод IV: Крупный банк поручил провести аудит своего специализированного приложения, предназначенного для управления инвестициями.

Приложение представляет собой «толстый клиент», то есть обычное десктоп-приложение, доступное через VPN.
Приложение оказалось полно уязвимостей разного рода, причём некоторые из них были абсолютно критическими, обеспечивающими огромную «поверхность атаки» для потенциальных злоумышленников.

Например, для развертывания приложения использовалась технология виртуального окружения, развертываемая при помощи Citrix XenApp. Разработки Citrix снабжены довольно эффективными средствами защиты, и в данном случае они были надлежащим образом активированы.

Однако во время аудита безопасности приложения удалось обнаружить в нём возможность совершать так называемый «побег» (breakout) из защищённой среды и получать доступ к серверу, находящемуся в соответствующем сегменте сети, что само по себе открывает огромные возможности по развитию атаки.

При дальнейшем аудите приложения удалось узнать аутентификационные данные базы данныхOracle: приложение общалось с базой напрямую, минуя какие-либо программные интерфейсы — подобный подход нельзя назвать безопасным.

Нетрудно представить себе, что это может означать для банка — организации, работающей с личными данными и деньгами множества людей и организаций. Успешная эксплуатация выявленных уязвимостей означала бы огромные финансовые, и, что не менее существенно, репутационные потери.

Заключение

Вопрос не в том, есть ли в инфраструктуре той или иной компании уязвимые места. Критичные или некритичные, но уязвимости есть и будут, и это объективная данность.

Вопрос в том, как к этому относятся сами владельцы бизнеса и технические специалисты. Готовы ли они рассматривать это как некую «абстрактную данность», то есть, игнорировать и, как следствие, рисковать и деньгами, и репутацией ради малозначимой экономии, или же делают то, что и следует делать — регулярно проводят аудит своей защищённости, собственными силами или привлекая внешних экспертов.

Внешний аудит — куда более продуктивный подход, уже в силу того, что сторонние эксперты могут посвящать проверке максимум ресурсов, — отметил Георгий Лагода, генеральный директор компании SEC Consult Services, проводившей описываемые исследования. — А значит, очень маловероятно, что они упустят что-либо.

Оцените статью
Аналитик-эксперт
Добавить комментарий

Adblock
detector