Информационная безопасность. Разбор системы атаки со стороны защиты.
“Цифровые данные можно сделать недоступными настолько, насколько воду можно сделать сухой.” Брюс Шнайер
Прежде всего стоит обозначить основные понятия. Безопасность - это сохранение свойств информации таких как целостность, доступность и конфиденциальность. Информационная безопасность - это в первую очередь состояние защищенности данных. А вот защита информации - это процесс, который направлен на достижение этого состояния.
Важно понимать реальные риски, то есть не закрывать все подряд недостатки системы, не бояться всех потенциальных опасностей, которые есть в интернете или при эксплуатации автоматизированных систем. Важно отталкиваться от реального риска и вероятности реализации злоумышленниками того или иного свойства системы, обладающего недостатком.
Цель защиты информации - сделать так, чтобы стоимость атаки была дороже, чем выгода от реализации этой атаки. Если стоимость атаки на организацию, её подготовка и реализация будет стоить 2 млн руб., а прибыль, которую получат злоумышленники составит 1 млн руб., то это будет не эффективным вложением и скорее всего злоумышленник от неё откажется.
Появился новый вектор атак: «взламывать» организации напрямую стало сложнее. Но организации работают с массой подрядчиков и часто, чтобы «взломать» сложную организацию дешевле сделать это, проведя атаку через такого подрядчика.
На мой взгляд, одна из самых актуальных проблем информационной безопасности на текущий момент - это социальная инженерия. Если вы не владеете крупной организацией, не обладаете мировой популярностью, то как потенциальная жертва для точечной атаки вы интересны не будете. Но расслабляться рано: любой малоопытный пользователь ПК, не соблюдающий цифровую гигиену – это лакомый кусочек для киберворов, вымогателей и недобросовестных майнеров, расставивших свои сети. Чтобы не попасться в ловушку, необходимо не взаимодействовать с неизвестными и подозрительными письмами, присланными вам на электронную почту, потому как массовую рассылку заражённых писем ещё никто не отменял. Также необходимо тщательно проверять письма от государственных структур, если вы не ждали от них ответа, ибо жизнь знает примеры, когда злоумышленники рассылали сообщения полностью идентичные тем, что рассылают ГосУслуги и отличия между ними были минимальные, вплоть до одной буквы в имени отправителя.
Сейчас, во время майнинга криптовалюты особенно важно не дать злоумышленникам эксплуатировать свой компьютер. При просмотре фильма на неизвестном сайте, хорошей практикой будет проверка состояния загруженности вашей системы, поскольку в то время, пока вы наслаждаетесь кинолентой, сайт во время рекламы может незаметно открыть вкладку-майнер, которая будет эксплуатировать ваш компьютер.
Итак, вернёмся к целенаправленным атакам. Любое такое нападение, по сути, делится на несколько этапов. В данном случае мы рассмотрим четыре этапа.
Первый этап – это подготовка целенаправленной атаки. Он является обязательным и включает в себя определение цели и ее исследование. Определение цели и исследование может происходить длительное время, в том числе занимать даже месяцы.
Следующим этапом является внедрение вредоносного программного обеспечения, которое было подготовлено на предыдущем этапе. Происходит заражение отдельных хостов. Заражение может происходить абсолютно различными способами, в том числе путем разбрасывания флешек по офису. Может происходить путем доставки вредоносного программного обеспечения через почту или, например, через сайт для загрузки клиентской информации, клиентских документов для внутренних сотрудников. Эти клиентские документы доставляются обычно за приложением во внутреннюю инфраструктуру на сетевые папки, и там могут быть распакованы, открыты уже внутренними сотрудниками.
Следующим этапом является непосредственно достижение цели. Когда злоумышленники проникли в инфраструктуру, горизонтально распространились, получили необходимую информацию для проведения атаки, знают, как проводить эту атаку, подготовили средства для проведения атаки, вплоть до того, что злоумышленники в одной из реальных атак подготовили скрипты для инсерта в базу данных процессингового центра. Это было подготовлено заранее. Они знали, какие таблицы нужно инсертить, что нужно инсертить. Также за это время может осуществляться подготовка заранее золотых карт, для того чтобы вывести эти средства, подготовка счетов или даже открытие организаций, покупка этих организаций, на счета которых будут выводиться средства. Осуществляется вторая часть, чтобы после вывода денег максимально быстро их перевести в криптовалюту или в электронные деньги и вывести со счетов тех организаций или тех счетов, на которые эти средства будут доставлены.
По статистике, среднее время организации выявления инцидента с момента начала атаки, с момента проникновения атаки, занимает 272 дня. То есть практически год злоумышленники могут находиться в организации, оставаясь не выявленные и продолжая свою деструктивную деятельность. При этом, к сожалению, проникновение в организацию и захват инфраструктуры может занимать у злоумышленников минуты. Большая часть (практически 90% организаций) подвержены атакам, захвату в течение минут, даже не часов, а выявление этих атак занимает месяцы. Только у небольшого количества организаций, примерно 3%, способны выявлять атаки до часа.
Если говорить о банковской сети, то зачастую целью исследования злоумышленниками является платежный шлюз. Поиск платежного шлюза может осуществляться либо сканированием, либо захватом администратора и изучением документации на рабочем месте администратора.
Давайте рассмотрим одну из реальных атак на банк, увенчавшуюся успехом для взломщиков. В данном случае целью злоумышленников был платежный шлюз. Злоумышленники проникли в сеть, нашли этот платежный шлюз, попали на платежный шлюз, попытались формировать платеж – у них это не получилось. Они подождали, пока пришел администратор на платежный шлюз, украли его данные для аутентификации, попали на рабочую станцию администратора, забрали с рабочей станции администратора документацию на платежный шлюз, и где-то на месяц-полтора атака затихла, потому что злоумышленники изучали эту документацию. Затем они вернулись на этот платежный шлюз, собрали из скриптов рядом свой, новый платежный шлюз, и отправили платежи уже с собранной ими платежной инфраструктуры.
Простому пользователю ПК ошибочно может показаться, что опасность далеко… Но это не так. Злоумышленники всегда найдут свою выгоду, даже когда вам покажется, что забрать уже нечего. Пользуйтесь антивирусом, регулярно проверяйте свой компьютер на наличие вредоносных программ, следите за своими действиями в интернете, и никакие угрозы вам будут не страшны.
