ћерион Ќетворкс

24 минуты чтени€

„ита€ различные статьи и новости, вы можете заметить, что существует множество терминов, которые посто€нно используютс€ в обсуждени€х информационной безопасности.

Ёта стать€ посв€щена изучению различных терминов по безопасности.


”грозы, у€звимости и эксплойты

”€звимость определ€етс€ как слабое место в системе безопасности или недостаток системы, использу€ который можно намеренно нарушить целостность, конфиденциальность и/или доступность системы.

”€звимость может быть результатом ошибок программировани€ или проектировани€ системы, ненадежных паролей, вирусов и других вредоносных программ, скриптовых и SQL-инъекций. Ќекоторые у€звимости известны только теоретически, другие же активно используютс€ и имеют известные эксплойты.

”€звимость, о которой злоумышленники или специалисты по кибербезопасности узнали раньше чем производитель решени€, в котором она обнаружена, называетс€ у€звимостью нулевого дн€ (0-day, Zero-Day). 0-day у€звимости наиболее опасны дл€ системы и должны устран€тьс€ максимально оперативно, чтобы злоумышленники больше не могли их эксплуатировать.

’акеры, и профессионалы в области кибербезопасности соревнуютс€ друг с другом в поисках у€звимостей в системах. ’акеры всегда ищут слабые места в безопасности, которые позвол€ют им взломать систему или сеть.

ѕрофессионалы в области кибербезопасности всегда стрем€тс€ обнаружить эти недостатки и исправить их, прежде чем хакеры смогут их найти. »сследователи безопасности посто€нно работают с поставщиками операционных систем и программного обеспечени€, разработчиками приложений и многими другими организаци€ми, чтобы защитить свои продукты от злоумышленников.

ѕроизводители многих попул€рных продуктов, приложений и ќ— запускают специальные программы вознаграждени€ (bug bounty), которые гарантируют денежное вознаграждение исследовател€м, сообщившим об у€звимости по всем правилам программы. »сследователи, которые занимаютс€ поиском у€звимостей называютс€ bounty-hunter.

 аждый раз, когда обнаруживаетс€ нова€ у€звимость, ей присваиваетс€ уникальный идентификатор, который публикуетс€ в базе данных. Ёта база данных известна как Common Vulnerabilities and Exposures (CVE). ѕосле присвоени€ номера CVE, сведени€ об у€звимости обычно публикуютс€ в общей базе cve.mitre.org. ƒанную базу поддерживает организаци€ MITRE.

ќбмен этой информацией помогает другим IT-специалистам реализовать меры по снижению последствий или внести изменени€ дл€ обеспечени€ более полной защиты своих систем. ѕредставьте, что ваша компани€ уже много лет использует решение от поставщика ј. ќднажды, в этом решении обнаруживаетс€ критическа€ у€звимость, котора€ еще не исправлена производителем. ќб этом узнает ваша IT-команда. ќни могут использовать справочный номер CVE дл€ сбора дополнительной информации, найти описание у€звимости, затронутые приложени€, затронутые операционные системы, версии решени€, которые подвержены у€звимости. “аким образом, если в вашей организации есть это у€звимое решение, ваша команда может реализовать дополнительные меры безопасности дл€ защиты систем и пользователей. Ёто делаетс€ до тех пор, пока поставщик не выпустит обновление безопасности дл€ устранени€ у€звимости в системе безопасности.

ѕримером нашумевшей критической у€звимости €вл€етс€ EthernalBlue (CVE-2017-0144). Ёто у€звимость в реализации протокола Microsoft Server Message Block 1.0 (SMBv1) в операционных системах Microsoft Windows. ”€звимость в позвол€ла злоумышленнику, удаленно получить доступ к системе жертвы и выполнить в ней любой код. ѕользу€сь данной возможностью 12 ма€ 2017 года, злоумышленники из группировки Lazarus Group (предположительно спонсируетс€ правительством  Ќƒ–) распространили шифровальщик WannaCry на более чем 300 тыс€чах компьютеров под управлением ќ— Windows в 150 странах мира, нанес€ ущерб свыше 1$ млрд. ¬редоносный код WannaCry зашифровал все файлы на хостах жертв и предлагал заплатить выкуп в биткоинах за ключ на дешифровки.

WannaCry

¬ насто€щее врем€, киберпреступные группировки, использующие вымогательское ѕќ (шифровальщики) имеют развитую организационную структуру. –азработчики шифровальщика обычно предоставл€ют лишь само вредоносное ѕќ, а распространением, взломом и давлением на жертву занимаютс€ другие злоумышленники, которые купили это ¬ѕќ. “ака€ модель, где об€занности между злоумышленниками четко разделены, называетс€ Ransomware-as-a-Service (RaaS) (¬ымогательского по как сервис).  ак правило, вымогатели стараютс€ атаковать как можно более крупную организацию (така€ атака называетс€ Big Game Hunt). јлгоритм таких атак можно описать следующим образом:

  • «лоумышленники каким-либо образом (посредством фишинга, украденных учетных данных, у€звимостей и прочего) получают внутренний доступ к сети атакуемой организации;
  • «атем они ищут и скачивают конфиденциальную информацию, которую можно украсть, чтобы потом шантажировать организацию-жертву публикацией данных материалов;
  • «атем они по возможности удал€ют все резервные копии систем, которые планируют атаковать, чтобы их невозможно было оперативно восстановить;
  • «атем они разворачивают вымогательское ѕќ и начинают давить на организацию дл€ получени€ выкупа;
  • ¬ случае отказа от организации платить выкуп, они публикуют украденную информацию. Ёто наносит организации колоссальный репутационный ущерб, в результате которого она даже может закрытьс€.

Ќаиболее известные преступные группировки, работающие по модели RaaS:

RaaS criminals

’акеры используют эксплойты, чтобы воспользоватьс€ у€звимостью в системе. Ёксплойт определ€етс€ как вредоносный код или инструмент, который может быть использован дл€ эксплуатаци€ у€звимости в целевой системе или сети. Ёксплойты могут быть как локальными, так и удаленными. Ћокальный эксплойт должен находитьс€ в целевой системе, т.е хакеру нужно будет получить доступ к хосту, а затем выполнить эксплойт в системе. ”даленный эксплойт позвол€ет хакеру запускать эксплойт по сети, поэтому злоумышленнику не требуетс€ физический доступ к машине жертвы, а нужно просто подключение по сети.

Ѕаза данных эксплойтов www.exploit-db.com Ч это база, которую поддерживают создатели Kali Linux, Offensive Security. ќна содержит множество эксплойтов, используемых специалистами безопасности дл€ тестировани€ своих систем.

—пециалисты по кибербезопасности используют как индивидуальные специализированные, так и коммерческие инструменты дл€ обнаружени€ у€звимостей. —уществуют специалисты по анализу защищенности (пентестеры), которых специально нанимают дл€ того, чтобы они взломали сеть или системы. «адачей пентестеров €вл€етс€ обнаружение и использование всех известных и скрытых у€звимостей на хосте (системе) их «аказчика. ѕентестер может использовать такой инструмент, как Metasploit, который представл€ет собой среду разработки эксплойтов. Metasploit позвол€ет разрабатывать и запускать эксплойты и и другие вредоносные нагрузки на атакуемой системе.

«лоумышленники могут также автоматизировать свои эксплойты с помощью наборов эксплойтов (exploit kit). Ќабор эксплойтов - это предварительно упакованный набор вредоносных нагрузок, который обычно загружаетс€ на общедоступный сервер, такой как попул€рный веб-сервер в »нтернете. ÷елью набора эксплойтов €вл€етс€ обнаружение любых у€звимостей в системах пользователей, когда они посещают зараженный веб-сервер.  ак только набор эксплойтов обнаружит у€звимость, он попытаетс€ использовать ее, просто загрузив вредоносный код в систему жертвы и выполнив его. ѕримером набора эксплойтов €вл€етс€ Angler.

≈ще один ключевой термин безопасности - угроза. ”гроза определ€етс€ как все, что может причинить вред активу или создать опасность дл€ него. ѕримером угрозы может быть как открытый наружу порт удаленного доступа, так и недовольный сотрудник, который намереваетс€ нарушить работоспособность сети организации после своего увольнени€ из компании. Ёто намерение сосредоточено на разрушении одного из трех принципов CIA триады: доступности.

ќхота за угрозами (Threat Hunting) становитс€ очень попул€рным видом де€тельности в мире кибербезопасности. ќна включает в себ€ проактивный поиск в системах и сет€х дл€ обнаружени€ и см€гчени€ любого типа киберугроз, которые ускользнули от существующих средств и решений безопасности.

¬ажно, чтобы специалисты по безопасности защищали свою внутреннюю сеть с помощью контрмер так же, как они защищают свою сеть периметра.  онтрмера Ч это средство защиты, предназначенное дл€ см€гчени€ (устранени€) потенциальной угрозы. ѕримером контрмеры €вл€етс€ реализаци€ мер безопасности уровн€ 2, таких как безопасность порта, динамическа€ проверка ARP (Dynamic ARP Inspection - DAI), контроль доступа к сети (Network Access Control - NAC), отслеживание DHCP (DHCP snooping) и т. д.

¬ы€вление субъектов угрозы

«лоумышленник Ч это обычно человек или группа людей, которые намерены использовать свои навыки дл€ выполнени€ противоправных действий в отношении организации, человека или системы. ” всех хакеров разные намерени€ взломать целевые системы, одни взламывают ради развлечени€, другие - ради финансовой выгоды.

Ќиже приведен список различных типов субъектов угроз и их намерений:

  • Script kiddie: это тот, кто использует готовые скрипты и инструменты, созданные более опытными хакерами. Ётому человеку не хватает реальных технических знаний в области безопасности, которые есть у насто€щих хакеров, но он имеет такое же намерение нанести вред системе или сети. Script kiddie могут нанести такой же урон системе, как и насто€щие хакеры, даже если им не хватает знаний или навыков. ќни могут следовать инструкци€м опытного хакера и достигать тех же результатов без полного понимани€ технических деталей.
  • Hacktivists: хактивист Ч это активист с набором навыков хакера. Ётот человек использует свои хакерские навыки дл€ достижени€ политических или социальных целей. ’активисты используют свои навыки дл€ выполнени€ таких действий, как повреждение веб-сайтов (deface), кража и утечка конфиденциальной информации в »нтернете и т. д. Ёто их способ протеста. ѕримером может быть группировка Anonymous.
  • »нсайдер: в то врем€ как организаци€ проводит тщательную проверку всех потенциальных сотрудников во врем€ собеседовани€, хакеры также могут притворитьс€ простым и невинным человеком, который заинтересован в трудоустройстве в целевой организации. ÷ель состоит в том, чтобы получить работу в качестве доверенного сотрудника, а затем, наход€сь внутри, хакер сможет лучше изучить сеть и системы безопасности изнутри, что облегчит взлом организации. »нсайдером также считаетс€ недовольный сотрудник, которым может или уже нанЄс какой-либо ущерб организации посредством информационных систем или кражи данных с них. Ёто - внутренн€€ угроза.
  • ќрганизованна€ преступность: ¬ насто€щее врем€ некоторые хакеры работают в группах с намерением использовать свои навыки и ресурсы дл€ получени€ финансовой выгоды.  аждый человек в организованной преступной группе обычно имеет специализацию и играет определенную роль в команде. ќбычно есть лидер, который предоставл€ет финансовые ресурсы, необходимые группе дл€ приобретени€ лучших инструментов (как правило в dark/deepweb), чтобы гарантировать, что их атаки на цели будут успешными.   данному типу также можно отнести RaaS-группировки.
  • —понсируемые государством (state-sponsored): Ётот тип хакеров спонсируетс€ правительством и проводит различные кибероперации в интересах своей страны.   таким операци€м чаще всего относитьс€ кибершпионаж или кибератаки против правительственных и частных организаций других стран. Ётой группе хакеров обычно доступны лучшие инструменты и оборудование.

јтаки, которые провод€т последние два типа группировок также часто называют Advanced Persistent Threat (APT). јтака APT превосходит обычные киберугрозы, так как ориентируетс€ на взлом конкретной цели и готовитс€ на основании информации о ней, собираемой в течение длительного времени. APT осуществл€ет взлом целевой инфраструктуры посредством эксплуатации программных у€звимостей и методов Ђсоциальной инженерииї.

ѕоскольку APT-атаки может отслеживать сразу несколько групп исследователей кибербезопасности (как правило - производителей/вендоров решений по кибербезопасности), одна группировка может иметь множество названий.

ѕримеры известных APT-группировок:

  • LAZARUS (APT38, Guardians of Peace, Whois Team, HIDDEN COBRA, Zinc) - —еверокорейска€ APT-группировка, ответственна€ за распространение WannaCry
  • PLA Unit 61398 (APT 1, Comment Crew, Comment Panda, GIF89a, and Byzantine Candor) -  итайска€ APT-группировка, занимающа€с€ кибершпионажем
  • Charming Kitten ( APT35, Phosphorus, Ajax Security,NewsBeef ) - »ранска€ APT-группировка

’акеров, которые используют свой набор навыков дл€ противоправных намерений также называют black hat, а white hat Ц это хорошие парни в индустрии кибербезопасности, которые используют свои навыки дл€ защиты организаций. ќднако есть и gray hat, которые располагаютс€ между white и black hat. —ерые хакеры могут использовать свои навыки как дл€ добрых, так и дл€ дурных намерений, например, если они работают специалистом по безопасности и параллельно совершают кибератаки.


Security Operations Center (SOC)

÷ентр управлени€ безопасностью (Security Operations Center - SOC) - это команда людей, прошедших обучение и имеющих высокую квалификацию в области кибербезопасности. ÷елью SOC €вл€етс€ мониторинг, обнаружение, предотвращение и устранение любых угроз в сети организации. ¬нутри SOC существует множество процессов, которым необходимо следовать, чтобы каждый аналитик или инженер мог эффективно обрабатывать все данные, которые поступают в SOC от различных сетевых устройств и устройств безопасности. Ёти процессы помогают команде SOC лучше отслеживать вход€щие данные и вы€вл€ть любые угрозы, возникающие в организации.

” SOC обычно есть набор процедур, инструментов и утилит, которые посто€нно обновл€ютс€. ѕо мере по€влени€ новых угроз и атак процедуры, инструменты и утилиты могут быть изменены, чтобы обеспечить лучшее оснащение SOC дл€ обработки киберугроз следующего поколени€. ћодуль Runbook, иногда называемый playbook, используетс€ в SOC, чтобы помочь команде лучше отслеживать процессы реагировани€ на инциденты в повседневных операци€х.

Ќа следующем рисунке показаны компоненты модул€ Runbook или playbook SOC:

ћодуль Runbook SOC

ћногие SOC автоматизируют свои модули Runbook, чтобы сократить врем€ реакции на инциденты безопасности. Ётот процесс известен как Runbook Automation (RBA). ћногие организации не сразу обнаруживают угрозы или другие формы нарушений безопасности в своей сети. »ногда организации требуетс€ несколько недель или даже мес€цев, чтобы обнаружить угрозу в своей сети. ћежду моментом первоначального взлома и моментом обнаружени€ хакер или вредоносное ѕќ могут нанести большой ущерб системам и сет€м жертвы. јвтоматизиру€ процессы в SOC, RBA сокращает врем€ между обнаружением и устранением.


 иберкриминалистика (форензика)

 ак и следователь, который ловит преступника, эксперт в области безопасности должен правильно собрать доказательства киберпреступлени€. ƒл€ этого он должен приехать на место киберпреступлени€ (в пострадавшую от кибератаки организацию), опросить свидетелей и провести тщательный анализ атакованной сети и ее активов. ¬ зависимости от сложности атаки, эта работа может длитьс€ очень долго, ведь кибератака может включать несколько этапов и в процессе расследовани€ будут обнаруживатьс€ новые пострадавшие активы. ƒл€ того, чтобы атакованна€ компани€ могла обратитьс€ с суд, эксперт должен предоставить неопровержимые доказательства взлома. Ёти доказательства хран€тс€ на атакованных активах (компьютерах, серверах, сетевых устройствах).

ќни могут передаватьс€ между несколькими людьми, которые работают над тем же делом. „тобы гарантировать правильное отслеживание, перемещени€ доказательств и то, кому они принадлежат, когда они передаютс€ от человека к человеку, используетс€ chain of custody. “ермин chain of custody используетс€ во врем€ судебного расследовани€.

Chain of custody обычно содержит следующие сведени€:

  • ‘амили€ эксперта
  • ƒата и врем€ получени€ доказательств
  • ƒело и номер
  • Ќомер экземпл€ра, если имеетс€ несколько частей
  • ѕричина, по которой были собраны доказательства
  • ћесто нахождени€ доказательств

≈сли chain of custody не поддерживаетс€ должным образом, доказательства могут быть не прин€ты в суде.  роме того, необходимо убедитьс€, что доказательства никоим образом не измен€ютс€ и что они всегда сохран€ют свое первоначальное состо€ние. Ёксперты создают копию доказательств и работают только с копией (например, снимают образ диска с атакованного компьютера) чтобы сохранить целостность оригинала. ѕервое что попросит эксперт, получив задачу на кибекриминалистическое расследование - ничего не трогать до его приезда.

¬ отрасли существуют различные криминалистические инструменты, которые позвол€ют следователю получить изображение цифровых доказательств. ¬от некоторые из этих инструментов:

  • ѕрограммное обеспечение EnCase дл€ судебной экспертизы
  • Ќабор инструментов дл€ криминалистической экспертизы AccessData (AccessData Forensic Toolkit - FTK)

Ќаконец, при транспортировке любых доказательств из одного места в другое, например, с места преступлени€ в судебно-медицинскую лабораторию, очень важно, чтобы chain of custody также поддерживалась должным образом, чтобы гарантировать, что никакие доказательства не будут подделаны или неправильно обработаны по пути.


ќбратна€ разработка (Reverse engineering)

Reverse engineering - это метод изучени€ приложени€, программного обеспечени€ или объекта, дл€ определени€ того, как они на самом деле функционируют и работают. ¬ области кибербезопасности инженер по reverse engineering - это профессионал, который использует свои навыки, чтобы изучить вредоносное ѕќ, дл€ лучшего понимани€ того, как обнаруживать и защищать системы от любых будущих атак.

¬о врем€ reverse engineering, специалист по безопасности также выполн€ет анализ вредоносных программ, чтобы узнать и пон€ть вли€ние и функции этих программ.

¬ SOC обычно есть люди, специализирующиес€ на reverse engineering, которые изучают (исследуют, разбирают) вредоносное ѕќ после того, как оно было обнаружено и локализовано в сети. ѕроцесс изучени€ начинаетс€ с локализации вредоносного ѕќ в сети, например, с удалени€ всех зараженных систем из сети и создани€ клона или образа жестких дисков дл€ анализа аналитиком безопасности и специалистом по reverse engineering вредоносных программ.

—пециалист по reverse malware отвечает за определение следующих сведений о вредоносном ѕќ:

  •  ак работает вредоносна€ программа?
  • ¬ чем цель вредоносного ѕќ?
  •  ак распростран€етс€ вредоносное ѕќ?

Ќиже приведен алгоритм reverse engineering вредоносных программ:

  • »зол€ци€ зараженных систем в сети.
  • —оздание образа зараженного компьютера и перемещение его в изолированную сеть.
  • ¬ыполнение reverse engineering вредоносных программ.
  • јнализ того, что пытаетс€ сделать вредоносна€ программа.

ѕосле того, как вредоносное ѕќ будет тщательно исследовано, SOC может приступить к внедрению новых контрмер дл€ защиты от этой угрозы в будущем.

–азличные инструменты, которые помогают аналитику во врем€ расследовани€:

  • ”тилиты изучени€ реестра
  • —етевые утилиты
  • ”тилиты изучени€ изменений файлов
  • ”тилиты отладки и дизассемблера

ѕерсональные данные (ѕƒн) и персональные данные пациента

ћы живем в мире, где практически невозможно не хранить нашу информацию в системе или сети. Ќезависимо от того, совершаете ли вы покупки в интернет-магазине, совершаете онлайн-транзакцию в своем банке или даже оплачиваете счета за коммунальные услуги онлайн, системы, которые мы используем, чтобы предоставить нам эти возможности, хран€т информацию о нас.

ѕри использовании онлайн-банкинга, банку требуютс€ личные данные о вас дл€ создани€ учетной записи, и эта информаци€ хранитс€ в системе и сети банка. “о же самое и с любой организацией в современном мире. ¬ разных странах действуют правила, требующие, чтобы эти системы, сети и информаци€ были защищены законом.

ќдин тип данных, которые обычно хран€т компании о своих клиентах, известен как информаци€, позвол€юща€ установить личность (Personally Identifiable Information - PII) они же - персональные данные (ѕƒн). ѕƒн - это люба€ информаци€, котора€ может использоватьс€ дл€ идентификации личности. ѕредставьте, что вы частый покупатель на одном из попул€рных интернет-магазинов. ¬ам необходимо будет создать учетную запись и предоставить некоторую личную информацию о себе, такую как ваше им€, дату рождени€ и даже номер кредитной карты. Ёта информаци€ относитс€ к категории ѕƒн. ѕƒн информаци€ всегда должна быть защищена потому, что, если злоумышленник взломал систему и/или сеть, в которых хран€тс€ ваши данные, хакер может украсть вашу информацию и передать ее в darknet или продать ее, позвол€€ другим злоумышленникам атаковать вас лично.  ак бы вы относились к утечке вашей личной информации в »нтернете? ƒумаем, отрицательно.

Ќиже приведены примеры ѕƒн (PII):

  • »м€
  • ƒата рождени€
  • Ќомер кредитной карты
  • ¬одительское удостоверение
  • Ћюбые биометрические данные, такие как отпечатки пальцев, геометри€ лица и так далее
  • ƒевичь€ фамили€ матери
  • Ќомер —Ќ»Ћ—, »ЌЌ
  • –еквизиты банковского счета
  • јдрес электронной почты
  • Ќомер телефона
  • ‘изический адрес проживани€

Ќиже приведены примеры организаций, которые хран€т ѕƒн о вас:

  • <–аботодатели/li>
  • ћедицинские учреждени€
  • ‘инансовые организации
  • √осударственные учреждени€

ћедицинские работники всегда хран€т информацию о своих пациентах, и эта информаци€ всегда должна быть конфиденциальной и безопасной. «ащищенна€ медицинска€ информаци€ (Protected Health Information - PHI) - это люба€ информаци€, которую медицинское учреждение (организаци€) хранит о своих пациентах, котора€ может быть использована дл€ их идентификации.

Ќиже приведены примеры PHI:

  • »м€ пациента
  • Ќомер телефона
  • јдрес электронной почты
  • јдрес проживани€
  • Ћюбые записи медицинских журналах
  • Ќомер медицинского полиса, —Ќ»Ћ—, »ЌЌ
  • ¬одительское удостоверение
  • Ѕиометрические данные о пациенте
  • »нформаци€ о психическом или физическом здоровье пациента
  • »нформаци€ о поставщике медицинских услуг дл€ пациента

 ак ѕƒн (PII), так и PHI €вл€ютс€ крайне чувствительной информацией и дл€ их защиты должны использоватьс€ наиболее надежные методы. ”течки такого рода информации сильно бьют по репутации компаний и по доверию к ним со стороны клиентов.  роме того, в некоторых странах (в том числе в –‘) существуют законы, об€зывающие компании серьезно относитьс€ к обработке и защите персональных данных и предусматривающие серьезные наказани€ в случае нарушени€ данного законодательства.


ѕонимание риска

ѕо мере того, как все больше организаций и людей подключают свои системы и частные сети к »нтернету, возрастает риск, поскольку многие из этих устройств и сетей у€звимы дл€ большинства кибератак. –иск определ€етс€ как возможность причинени€ вреда или ущерба чему-либо, или кому-либо. ¬ области кибербезопасности очень сложно полностью учесть все возможные риски и угрозы из сети или всей организации.

¬ажное примечание! ѕо данным Ќационального института стандартов и технологий (National Institute of Standards and Technology - NIST), –иск = ”гроза x ”€звимости x ¬оздействие.

ѕри расчете риска мы определ€ем угрозу как все, что имеет намерение использовать у€звимость на целевом объекте.  ак мы уже узнали, у€звимость - это слабое место в системе. ѕоверхность же атаки - это сумма всех слабых мест в целевой системе. Ќапример, чем больше компонентов установлено на сервере, тем больше число потенциально у€звимых мест и, соответственно, поверхность атаки. ¬оздействие - это фактический ущерб, который будет нанесен цели в случае успеха атаки.

¬ мире кибербезопасности сложно установить фиксированное числовое значение дл€ каждой из этих переменных. “аким образом, мы понимаем, что риск может существовать в случае нанесени€ ущерба, который повли€л на конфиденциальность, целостность и/или доступность.

Ќиже приведены различные типы рисков, с которыми организации сталкиваютс€ каждый день:

  • Ѕизнес-риск: Ёто потенциальные риски или риски, которые возникают в результате ведени€ повседневной де€тельности. ѕримером бизнес-риска €вл€етс€ то, что конкурент может решить открыть новый филиал р€дом с вашей организацией с намерением переманить ваших клиентов.
  • –иск данных: этот риск возникает, когда данные украдены или скомпрометированы злоумышленником или кибератакой. ѕримером риска потери данных €вл€етс€ возможность заражени€ программой-вымогателем, котора€ шифрует все ваши данные и потребует выкуп дл€ дешифровани€ данных.
  • —истемный риск: Ёто когда системы, которые используютс€ дл€ обеспечени€ повседневной работы бизнеса, остаютс€ у€звимыми дл€ кибератак и угроз, таких как вредоносное ѕќ.
  • –иск потери данных: этот тип риска существует, когда данные в системе тер€ютс€ из-за какого-либо сбо€ системы. ѕримером риска потери данных €вл€етс€ возможность отказа жесткого диска, на котором хран€тс€ важные файлы и записи.
  • »нсайдерский риск: Ёто риск де€тельности сотрудника, который намереваетс€ взломать корпоративную сеть и нанести ущерб системам, принадлежащим организации.
  • –иск приложени€: этот тип риска представл€ет собой потенциальную возможность сбо€ важного приложени€ в корпоративной сети.

—пециалисты в области безопасности должны научитьс€ минимизировать поверхность атаки и снизить риск кибератак на любые активы. „тобы снизить веро€тность кибератак, лучше всего сначала идентифицировать все активы внутри организации. јктив - это все, что имеет ценность дл€ компании.

јктивы можно разбить на следующие категории:

  • ћатериальные активы - это физические объекты, представл€ющие ценность дл€ организации. ѕримерами материальных активов €вл€ютс€ компьютеры, серверы, сетевые устройства, такие как маршрутизаторы и коммутаторы, устройства безопасности, такие как межсетевые экраны и системы IPS, а также мебель.
  • Ќематериальные активы - это объекты, к которым мы не можем физически прикоснутьс€. ѕримерами нематериальных активов €вл€ютс€ данные, интеллектуальна€ собственность, процессы, процедуры и все, что находитс€ в цифровом формате.
  • Ћюди: люди, которые €вл€ютс€ сотрудниками организации, и данные клиентов также должны быть защищены. ≈сли хакеры смогут обмануть ваших сотрудников в ходе атаки, это может привести к тому, что вс€ сеть организации будет скомпрометирована.

¬ мире кибербезопасности угрозы существуют повсюду вокруг нас, и уровень риска увеличиваетс€ с каждым днем. ћногие организации считают, что все киберугрозы и атаки исход€т из »нтернета, и, возможно, куп€т Ђдорогойї брандмауэр у надежного провайдера в надежде, что он защитит корпоративную сеть.

 ак было сказано ранее, это одноуровневый подход, который не защищает от всех киберугроз или атак. ћногие организации не осознают или иногда осознают слишком поздно, что более 90% кибератак исход€т из их внутренней сети, за устройством безопасности периметра, которое должно было защищать их сеть.

Ёто может быть инсайдер, который представл€ет собой злоумышленника, выдающий себ€ за доверенного сотрудника или недовольный сотрудник, который хочет вывести из стро€ »“-инфраструктуру компании по личным причинам, или не осведомленный сотрудник, который открыл фишинговое письмо и запустил вредоносный файл из вложени€ или вставил найденную на парковке флешку в корпоративный ноутбук. «ащита вашей внутренней сети всегда должна быть не менее важной, чем защита периметра.

”правление рисками

”правление рисками включает в себ€ процессы, которые используютс€ дл€ определени€ потенциальных и существующих рисков, которые могут повли€ть на организацию, оценку каждого риска и внедрени€ процессов и процедур дл€ снижени€ рисков.

Ќиже приведены четыре стратегии, используемые дл€ снижени€ рисков:

  • ѕрин€тие риска: при прин€тии риска организаци€ признает наличие рисков и не принимает никаких контрмер дл€ снижени€ или устранени€ риска. Ёта ситуаци€ часто возникает, когда стоимость ущерба от риска не перевешивает затраты на осуществление контрмер и мер безопасности.
  • »збегание риска: при избегании риска организаци€ идентифицирует любые действи€, которые могут создавать риск, и прекращает их, чтобы просто избежать возможности риска.
  • ѕередача риска: при наличии риска организаци€ может передать ответственность за управление риском другой организации, например, стороннему поставщику услуг.
  • ќграничение риска: ќграничение риска обычно представл€ет собой баланс между прин€тием и избеганием.

Ќиже приведены рекомендации, которые помогут пон€ть, как снизить риск с помощью стратегического подхода:

  • ќпределите все у€звимости, которые представл€ют опасность дл€ организации.
  • ¬недрите технические меры безопасности, чтобы снизить риск использовани€ у€звимостей злоумышленником.
  • ”бедитесь, что технический контроль безопасности не стоит дороже, чем раскрытие или потенциальные финансовые потери, если система будет скомпрометирована.

—ледующа€ диаграмма помогает пон€ть необходимость контрол€ безопасности:

ѕонимание размещени€ мер безопасности дл€ управлени€ рисками

 огда дело доходит до расчета или измерени€ веро€тности риска, эту концепцию можно разбить на следующие оценки риска:

  •  оличественный риск
  •  ачественный риск

¬ количественном риске, риск оцениваетс€ числовым значением. Ќапример, если в организации есть критически важный сервер приложений, который случайно перестает работать в один прекрасный день, численное значение будет представл€ть собой финансовые затраты на замену сервера.

 роме того, ожидаема€ продолжительность единичных убытков (Single Loss Expectancy - SLE) может быть рассчитана дл€ одноразового событи€, в то врем€ как годова€ ожидаема€ продолжительность убытков (Annual Loss Expectancy - ALE) также может быть рассчитана дл€ общего количества сбоев или инцидентов, произошедших в течение всего года.

„то касаетс€ качественного риска, то оценка включает в себ€ присвоение каждому риску различных уровней риска, таких как критический, высокий, средний и низкий. ѕри этом типе оценки рисков эксперт дает свое мнение о том, какие факторы и риски €вл€ютс€ значимыми дл€ организации.

¬ажным методом, который многие организации используют дл€ вы€влени€ у€звимостей и рисков, €вл€етс€ проведение теста на проникновение в системы и сети. “ест на проникновение обычно включает в себ€ работу квалифицированного тестировщика на проникновение (пентестера), который будет имитировать реальные кибератаки на системы и сети компании, которые взаимно и юридически согласованы в правилах взаимодействи€.

÷ель теста на проникновение состоит в том, чтобы обнаружить все у€звимости на цели и пон€ть, как насто€щий хакер сможет скомпрометировать организацию. ≈сли пентестер способен найти эти слабые места в системе безопасности и использовать их, то это может сделать и насто€щий хакер со злым умыслом. ќрганизаци€ может использовать эти знани€ дл€ повышени€ уровн€ безопасности своих систем и сетей, чтобы обезопасить себ€.

ѕринцип наименьших привилегий

„тобы снизить риск внутри компании, существует концепци€ применени€ принципа наименьших привилегий к каждому сотруднику или пользователю. Ёта концепци€ означает, что каждому сотруднику должны быть предоставлены только те привилегии, которые ему потребуютс€ дл€ выполнени€ своих повседневных об€занностей, и не более того. Ёта концепци€ гарантирует, что у пользовател€ нет привилегий сверх необходимых, так что пользователь не сможет выполн€ть какие-либо действи€ в сети или системе, выход€щие за рамки его об€занностей.

ƒругой прием - ротаци€ об€занностей внутри всей организации. Ёта концепци€ заключаетс€ в том, что каждый сотрудник чередуетс€ между различными об€занност€ми в течение определенного периода времени. Ќапример, сотрудник мен€ет об€занности каждые 4 мес€ца.

ќбщей проблемой во многих организаци€х €вл€етс€ то, что один человек обычно выполн€ет роль и функции на двух или более должност€х.  онцепци€, известна€ как разделение об€занностей, заключаетс€ в том, что человек, который должен вносить изменени€ в систему, например, измен€ть конфигурацию брандмауэра, не должен быть тем же лицом, которое одобр€ет это изменение. ¬сегда должен быть отдельный человек, который вносит изменение, в то врем€ как другой человек утверждает изменение. Ёта концепци€ предотвращает несанкционированные изменени€ и контроль системы или сети одним человеком.

»ногда организаци€ может заметить, что сотрудник выполн€ет неправомерные действи€ в системах компании.  онцепци€ об€зательного отпуска вынуждает подозреваемого сотрудника вз€ть отпуск, и в течение этого времени сотрудник не будет иметь доступа к корпоративной сети. ≈сли неправомерные действи€ прекрат€тс€ во врем€ нахождени€ подозреваемого сотрудника в отпуске, то становитс€ очевидным, кто выполн€л эти действи€.


—кидки 50% в Merion Academy

¬ыбрать курс