Существует множество различных киберинцидентов, которые могут представлять угрозу для вашего бизнеса. В этой статье перечислены 7 самых распространенных типов кибератак и способы защиты от них.
Инцидент информационной безопасности — это несанкционированный доступ к информации с целью её дальнейшего использования в злонамеренных целях, а также нарушение работы IT-систем. Угроза внедрения или неудачная попытка получения доступа тоже считаются инцидентами.
Информационная безопасность – совокупность систем, процессов и инструментов для защиты конфиденциальной информации компании от любых нарушений, включая модификацию, кражу и потерю.
Важно отметить, что информационная безопасность и кибербезопасность — это разные понятия. Информационная безопасность — это тип кибербезопасности, который относится непосредственно к данным, а кибербезопасность — это общий термин, который охватывает безопасность данных, а IoT-устройств, оборудования и программного обеспечения.
Существует несколько видов информационной безопасности и множество процессов для защиты данных от компрометации и утечки.
Безопасность приложений
Включает в себя улучшение безопасности на уровне приложений для предотвращения утечек данных и снижения вероятности появления уязвимостей. Распространенные недостатки часто встречаются в процессе аутентификации пользователей и упрощают доступ для злоумышленника.
Облачная безопасность
Включает в себя защиту данных между приложениями, платформами и инфраструктурой в облачной среде. Часто предприятия работают в общедоступном облаке, то есть в общей среде. Поэтому необходимо внедрить процессы для защиты данных от утечки или других проблем безопасности, чтобы не подвергать риску всех пользователей облака.
Криптография
Криптография и шифрование относятся к кодированию, проверке и защите данных. Примером может служить алгоритм AES (Advanced Encryption Standard).
Безопасность инфраструктуры
Относится к безопасности физических носителей — от мобильных телефонов, настольных компьютеров и серверов до целых лабораторий, центров обработки данных и сетевых узлов.
Реагирование на инцидент
При подготовке к возможной утечке данных компании необходимо иметь план реагирования для сдерживания угрозы и восстановления сети. Он также должен включать систему сохранения данных — с отметками времени — для анализа и расследования кибератаки.
Управление уязвимостями
В современном быстром темпе системы компании нуждаются в частых проверках и обновлениях. Факторы риска включают устаревшее оборудование, незащищенные сети, человеческие ошибки, а также уязвимые личные устройства сотрудников. Организация может оценить уровень возможного риска для своих сетей с помощью продуманного плана оценки рисков.
Типы инцидентов и атак различаются по уровню сложности: от простых хакерских атак до сложных и тщательно спланированных долгосрочных атак.
Фишинг
Фишинговые атаки основаны на человеческих ошибках, поэтому обучение сотрудников имеет решающее значение для предотвращения утечки данных. Сотрудники должны знать, что нельзя нажимать на подозрительные ссылки или загружать файлы из неизвестных источников.
Брутфорс-атака
В этих атаках хакеры используют ПО для подбора комбинации паролей. Учитывая сложность инструментов взлома учетных данных, полагаться на комбинацию букв, символов и цифр уже недостаточно для обеспечения надежной защиты. Ограничение попыток входа в систему и включение двухфакторной аутентификации являются лучшими мерами защиты от брутфорса.
Вредоносное ПО
Вредоносное ПО заражает устройство без ведома пользователя. Сюда входят трояны, шпионские программы, программы-вымогатели и вирусы. Например, в 2021 году крупнейший поставщик нефти в США Colonial Pipeline подвергся атаке программы-вымогателя и заплатил злоумышленникам выкуп $5 млн.
Атака Drive-By Download
В ходе этой атаки из браузера на целевую систему незаметно загружается вредоносный файл без ведома жертвы. Загрузка файла может происходить через рекламу, плавающий фрейм (iframe) или встроенный в сайт вредоносный скрипт.
SQL-инъекции
Атака, при которой хакер помещает вредоносный код на сервер для управления базой данных компании. Цель атаки – получить доступ к конфиденциальным данным компании, таким как информация о клиентах и номера кредитных карт.
Межсайтовый скриптинг (Cross Site Scripting, XSS)
В ходе этой атаки хакер использует уязвимости, вставляя вредоносный JavaScript-код в браузер пользователя, чтобы получить доступ к браузеру и конфиденциальной информации жертвы. Обычно XSS-атаки направлены на кражу личных данных, cookie-файлов, паролей и т.д.
Атака «человек посередине» (Man-in-the-Middle, MITM)
В MITM-атаке злоумышленник внедряется в существующий процесс связи между двумя пользователями и незаметно перехватывает разговор или передачу данных путем подслушивания, либо притворяясь легальным участником. Целью MITM-атаки является получение конфиденциальной информации - данные банковского счета, номера банковских карт или учетные данные.
Атаки типа «отказ в обслуживании» (Denial of Service, DoS)
DoS-атака переполняет устройство или сеть потоком трафика, чтобы вывести систему из строя и лишить доступа реальных пользователей. Иногда хакеры инициируют DoS-атаку, чтобы проверить целостность системы.
Существуют различные способы определить, находится ли ваша компания под угрозой киберинцидента. Различные типы инцидентов будут иметь разные маркеры для обнаружения.
Векторы атаки — это средства или пути, по которым хакер может скомпрометировать целевое устройство. Они основаны на уязвимостях системы и человеческих ошибках. Векторы атак включают:
Каждый тип инцидента информационной безопасности имеет свой метод обработки, и все они являются важной частью строгой и всеобъемлющей стратегии информационной безопасности.
1. Стороннее сканирование
Сканирование происходит, когда внешний субъект угрозы проводит разведку или проверяет безопасность сайта. Сканирование нельзя игнорировать, если IP-адрес принадлежит источнику с плохой репутацией или происходит много обращений с одного и того же IP-адреса. Если сканирование осуществляется из законного источника, вы можете связаться с его командой безопасности. Если вы не можете найти данные об источнике, выполните поиск WHOIS для получения подробной информации.
2. Заражение вредоносным ПО
Часто сканируйте системы на наличие признаков компрометации. Признаки вредоносного ПО включают в себя необычную системную активность – внезапная потеря памяти, необычно низкие скорости, повторяющиеся сбои или зависания, а также неожиданные всплывающие окна с рекламой. Используйте антивирусное ПО, которое может обнаруживать и удалять вредоносные программы.
3. DoS-атаки
DoS-атаки могут быть обнаружены по потоку трафика на ваш сайт. Нужно настроить свои серверы для борьбы с многочисленными HTTP-запросами и координировать свои действия с вашим интернет-провайдером для блокировки источников при возникновении атаки.
Кроме того, остерегайтесь диверсионной DoS-атаки, которая используется для отвлечения группы безопасности от реальной попытки взлома данных. Если DoS-атака приводит к сбою сервера, проблема обычно решается перезагрузкой. После этого перенастройка брандмауэров, маршрутизаторов и серверов может заблокировать будущие потоки трафика.
4. Несанкционированный доступ
Несанкционированный доступ часто используется для кражи конфиденциальной информации. Отслеживайте и расследуйте любые попытки несанкционированного доступа, особенно те, которые происходят в критической инфраструктуре с конфиденциальными данными. Двухфакторная или многофакторная аутентификация, шифрование данных — это надежные меры защиты от несанкционированного доступа.
5. Нарушение внутренней безопасности
Необходимо убедиться, что сотрудники не злоупотребляют своим доступом к информации. Поддерживайте уровни доступа для работников в отношении доменов, серверов, приложений и важной информации, для которых у них есть разрешения.
Установите систему записи и уведомления о несанкционированных попытках доступа. Также установите ПО для мониторинга действия сотрудников – оно снижает риск внутренней кражи, выявляя инсайдеров и работников со злонамеренными целями.
6. Атака с повышением привилегий
Злоумышленник, который получает доступ к сети, часто использует повышение привилегий, чтобы получить возможности, которых нет у обычных пользователей. Обычно это происходит, когда хакер получает доступ к учетной записи с низкими привилегиями и хочет повысить привилегии для изучения системы компании или проведения атаки.
Для защиты от такого типа атак необходимо ограничить права доступа каждого пользователя, настроив их только для тех ресурсов, которые необходимы для выполнения задач (Zero Trust).
7. Усовершенствованная постоянная угроза
Advanced Persistent Threat (APT) — это обозначение спонсируемой государством группы, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода времени, отслеживая сетевую активность и собирая данные жертвы.
Мониторинг входящего и исходящего трафика может помочь предотвратить извлечение конфиденциальной информации. Брандмауэры также помогают защитить сетевую информацию и могут предотвратить атаки с SQL-инъекцией, которые часто используются на ранней стадии APT-атаки.
Крайне важно разработать план реагирования на инциденты информационной безопасности, чтобы убедиться, что ваша компания готова к борьбе со всеми типами киберугроз. Это снизит финансовые потери от атаки и поможет предотвратить их в будущем.
Никаких овечек — только отборные научные факты