Ночью я написал про взлом Twitter агентства Associated Press в результате которого пострадал не только Белый Дом США, но и краткосрочно весь финансовый рынок (индекс Доу Джонса обвалился на 150 пунктов; 3-хминутные потери составили 140 миддиардов долларов). Что интересного в этом событии, которое мало повлияло на российский рынок? В том, что оно в очередной раз поставило на повестку дня вопрос об атаках третьего поколения.
В своей книге "Обнаружение атак" еще в 2000-м году я писал про эти атаки, приводя пример получения и последующей рассылки фальшивого пресс-релиза новостным агентством. В этом пресс-релизе говорилось об увольнении генерального директора одной компании, от имени которой и рассылался пресс-релиз. Новостное агентство разослало эту "новость", не проверив ее, и рынок быстро отреагировал на это событие, обвалив акции компании-жертвы. Во вчерашнем примере с сообщением о взрывах в Белом Доме и ранении Обамы ситуация была аналогичная. Ни Белый Дом, ни Dow Jones никак не могли повлиять на данную атаку. Схематично она выглядти так:
Тут врядли могли бы как-то помочь специалисты по ИБ компании, попавшей в мишень злоумышленников. А вот пример более понятный и более привычный - создание фишингового сайта.
Бороться с таким примером атаки третьего поколения можно только путем постоянного мониторинга Интернет в поисках фальшивых сайтов, а также своевременная отработка сообщения от пользователей, которые нередко сообщают о появлении в сети фишинговых атак.
Но что делать, когда злоумышленники не просто создают фальшивый сайт, а атакуют инфраструктуру оператора связи, внося изменения в таблицу маршрутизации трафика и перенаправляя весь трафик на подставной сайт или просто блокируя доступ к ресурсам жертвы.
А можно попробовать атаковать и DNS-сервера, таким образом "перехватив" трафик к ресурсам жертвы на себя.
Никакие межсетевые экраны или системы предотвращения вторжений, установленные на периметре сети или на мобильных устройствах пользователей, не помогут. Не помогут и DLP-решения, и VPN-шлюзы, и сканеры безопасности. Ведь атака осуществляется на инфраструктуру третьего лица, которого с жертвой могут вообще не связывать никакие правоотношения и требовать от него выполнения каких бы то ни было защитных мер невозможно.
Что делать? Во-первых, понимать, что такие атаки существуют и они могут быть реализованы в любой момент. Более того, по мере нарастания защитного потенциала в корпоративной среде, злоумышленники будут все чаще обращаться именно к такому виду атак. Во-вторых, необходимо лищний раз проверить договора с операторами связи на предмет учета в них вопросов информационной безопасности поддерживающей вас инфраструктуры. не зря Банк России и Минкомсвязь сейчас вновь подняли вопрос о базовом уровне защищенности операторов связи. В-третьих, необходим регулярный мониторинг фишинговых сайтов (Банк России не зря прописал это требование в 382-). В-четвертых, очень важно иметь выстроенный процесс управления инцидентами. Как говорится , если вас взломали, это еще не значит, что вам нельзя помочь.Своевременное реагирование позволяет быстро оправиться от последствий инцидента и даже полностью их устранить. Ну и наконец, необходимо выработать процедуру общения с внешним миром в случае реализации описанных атак третьего поколения, которая может быть как частью процесса управления инцидентами, так и самостоятельным процессом, находящимся под управлением службы PR, а может быть и службы безопасности предприятия.
В своей книге "Обнаружение атак" еще в 2000-м году я писал про эти атаки, приводя пример получения и последующей рассылки фальшивого пресс-релиза новостным агентством. В этом пресс-релизе говорилось об увольнении генерального директора одной компании, от имени которой и рассылался пресс-релиз. Новостное агентство разослало эту "новость", не проверив ее, и рынок быстро отреагировал на это событие, обвалив акции компании-жертвы. Во вчерашнем примере с сообщением о взрывах в Белом Доме и ранении Обамы ситуация была аналогичная. Ни Белый Дом, ни Dow Jones никак не могли повлиять на данную атаку. Схематично она выглядти так:
Тут врядли могли бы как-то помочь специалисты по ИБ компании, попавшей в мишень злоумышленников. А вот пример более понятный и более привычный - создание фишингового сайта.
Бороться с таким примером атаки третьего поколения можно только путем постоянного мониторинга Интернет в поисках фальшивых сайтов, а также своевременная отработка сообщения от пользователей, которые нередко сообщают о появлении в сети фишинговых атак.
Но что делать, когда злоумышленники не просто создают фальшивый сайт, а атакуют инфраструктуру оператора связи, внося изменения в таблицу маршрутизации трафика и перенаправляя весь трафик на подставной сайт или просто блокируя доступ к ресурсам жертвы.
А можно попробовать атаковать и DNS-сервера, таким образом "перехватив" трафик к ресурсам жертвы на себя.
Никакие межсетевые экраны или системы предотвращения вторжений, установленные на периметре сети или на мобильных устройствах пользователей, не помогут. Не помогут и DLP-решения, и VPN-шлюзы, и сканеры безопасности. Ведь атака осуществляется на инфраструктуру третьего лица, которого с жертвой могут вообще не связывать никакие правоотношения и требовать от него выполнения каких бы то ни было защитных мер невозможно.
Что делать? Во-первых, понимать, что такие атаки существуют и они могут быть реализованы в любой момент. Более того, по мере нарастания защитного потенциала в корпоративной среде, злоумышленники будут все чаще обращаться именно к такому виду атак. Во-вторых, необходимо лищний раз проверить договора с операторами связи на предмет учета в них вопросов информационной безопасности поддерживающей вас инфраструктуры. не зря Банк России и Минкомсвязь сейчас вновь подняли вопрос о базовом уровне защищенности операторов связи. В-третьих, необходим регулярный мониторинг фишинговых сайтов (Банк России не зря прописал это требование в 382-). В-четвертых, очень важно иметь выстроенный процесс управления инцидентами. Как говорится , если вас взломали, это еще не значит, что вам нельзя помочь.Своевременное реагирование позволяет быстро оправиться от последствий инцидента и даже полностью их устранить. Ну и наконец, необходимо выработать процедуру общения с внешним миром в случае реализации описанных атак третьего поколения, которая может быть как частью процесса управления инцидентами, так и самостоятельным процессом, находящимся под управлением службы PR, а может быть и службы безопасности предприятия.
