Москва: 8 (499) 350-44-68
Петербург: 8 (812) 309-40-22
Воронеж: 8 (473) 250-90-42
Россия: 8 (800) 777-81-64
Петербург: 8 (812) 309-40-22
Воронеж: 8 (473) 250-90-42
Россия: 8 (800) 777-81-64
Москва: 8 (499) 350-44-68
Петербург: 8 (812) 309-40-22
Воронеж: 8 (473) 250-90-42
Россия: 8 (800) 777-81-64
Москва: 8 (499) 350-44-68
Петербург: 8 (812) 309-40-22
Воронеж: 8 (473) 250-90-42
Россия: 8 (800) 777-81-64
Петербург: 8 (812) 309-40-22
Воронеж: 8 (473) 250-90-42
Россия: 8 (800) 777-81-64
Гайд по IT-безопасности
Михаил Зимин
Эксперт по информационной безопасности и
технический директор компании TS Solution.
Эксперт по информационной безопасности и
технический директор компании TS Solution.
17 марта 2016 г.
Время прочтения ~ 8 минуты
Многих наших клиентов волнует сохранность клиентской базы своих компаний, однако, они редко допускают вероятность более значительных информационных краж. На этапе внедрения amoCRM, мы поняли актуальность этой проблемы, и взяли интервью у эксперта в вопросе IT-безопасности - технического директора TS Solution, Михаила Зимина. Специально для наших подписчиков, он рассказал об основных угрозах безопасности бизнеса, и как их избежать.
Что Вам нужно знать об IT-атаках? Условно, их можно разделить на угрозы технологического или человеческого фактора, а организовать эффективную DDoS-атаку может даже школьник, без специальных знаний.
В декабре 2015 у нас был кейс с одним из заказчиков. На них успешно совершили направленную атаку. В бухгалтерию и отдел кадров пришли письма с текстом про акт сверки и резюме соответственно. Оба пользователя перешли по ссылке, предлагаемой в письме и скачали архив.
Распаковали и запустили содержимое. Через 15 минут вирус-бот уже активно зашифровывал все содержимое локальных и сетевых дисков. Локально установленный лицензионный антивирус ничего не заметил и даже не пикнул.
К этому заказчику применили классическую Kill Chain атаку. И таким атакам подвержены абсолютно все. И у атакующих еще сотни и тысячи методов. При этом человеческий фактор остается наиболее уязвимым.
Распаковали и запустили содержимое. Через 15 минут вирус-бот уже активно зашифровывал все содержимое локальных и сетевых дисков. Локально установленный лицензионный антивирус ничего не заметил и даже не пикнул.
К этому заказчику применили классическую Kill Chain атаку. И таким атакам подвержены абсолютно все. И у атакующих еще сотни и тысячи методов. При этом человеческий фактор остается наиболее уязвимым.
Ситуация осложняется ещё и тем, что многие владельцы и управленцы бизнеса не воспринимают угрозу, ровно до момента серьезных проблем с информационной безопасностью. Часто реальные внедрения защиты, происходят только после удачных атак с тяжелыми для компании последствиями. Одни думают, что их данные никому не интересны. Другие, уверены, что и так достаточно защищены. Но все они ошибаются.
Малый и средний бизнес часто плохо защищены, и при этом уже представляют интерес для злоумышленников с финансовой точки зрения. У них есть деньги, которые легко украсть. Их часто успешно атакуют и для преступников не наступает последствий.
Малый и средний бизнес часто плохо защищены, и при этом уже представляют интерес для злоумышленников с финансовой точки зрения. У них есть деньги, которые легко украсть. Их часто успешно атакуют и для преступников не наступает последствий.
Приведу основные 10 видов угроз для пользователей и компаний:
1. Вирусы и боты
Могут быть переданы через почту, веб-сайт, USB-флэшку или просто по сети, без ведома пользователя. Зараженные компьютеры крадут информацию, рассылают спам, атакуют другие компьютеры или следят за пользователем.
2. Drive-by Download
Порой, для получения зловредного ПО достаточно просто кликнуть на ссылку в письме. Далее сервер в Интернете сам просканирует вашу систему на наличие антивируса и обновлений, а система сама уже загрузит вам вирусы под вашу операционную систему и другое ПО (офис, adobe, flash и т.д), в соответствии со списком уязвимостей, которые она найдет на вашем компьютере.
3. Фишинг
Атака с подменой одного сайта на другой, с идентичным внешним видом. В нашей практике был примечательный случай, когда сотрудников компании взломали на фишинговом сайте, разница в названиях доменов была между man***.ru и rnan***.ru (M и RN).
Могут быть переданы через почту, веб-сайт, USB-флэшку или просто по сети, без ведома пользователя. Зараженные компьютеры крадут информацию, рассылают спам, атакуют другие компьютеры или следят за пользователем.
2. Drive-by Download
Порой, для получения зловредного ПО достаточно просто кликнуть на ссылку в письме. Далее сервер в Интернете сам просканирует вашу систему на наличие антивируса и обновлений, а система сама уже загрузит вам вирусы под вашу операционную систему и другое ПО (офис, adobe, flash и т.д), в соответствии со списком уязвимостей, которые она найдет на вашем компьютере.
3. Фишинг
Атака с подменой одного сайта на другой, с идентичным внешним видом. В нашей практике был примечательный случай, когда сотрудников компании взломали на фишинговом сайте, разница в названиях доменов была между man***.ru и rnan***.ru (M и RN).
4. Мобильные трояны c удалённым доступом (mRATs)
При таком виде атаки, злоумышленник может получить доступ ко всему содержимому хранящемуся на смартфоне или планшете жертвы, а также получить удаленный доступ, контроль и управление мобильным устройством.
Эти нападения, как правило, совершаются через загруженные на рынках приложений программы, в том числе через Google Play.
Порой безобидные приложения и игры могут содержать вредоносный функционал. После загрузки вредоносный код может быть активирован злоумышленником. Такое зараженное устройство с mRAT может иметь серьезное влияние на бизнес:
5. Кража данных
Одна из особо сложных задач – защита информации от кражи. Красть могут сотрудники с целью навредить компании, или злоумышленники, при помощи различных программных инструментов с целью перепродажи, шантажа или вымогательства.
При таком виде атаки, злоумышленник может получить доступ ко всему содержимому хранящемуся на смартфоне или планшете жертвы, а также получить удаленный доступ, контроль и управление мобильным устройством.
Эти нападения, как правило, совершаются через загруженные на рынках приложений программы, в том числе через Google Play.
Порой безобидные приложения и игры могут содержать вредоносный функционал. После загрузки вредоносный код может быть активирован злоумышленником. Такое зараженное устройство с mRAT может иметь серьезное влияние на бизнес:
- Злоумышленник может быть причастен к разного рода кражам конфиденциальной информации.
- Они могли бы включить запись на устройствах и слушать дискуссии на всех заседаниях вашей компании, читать электронную почту или текстовые сообщения, просматривать историю телефонных звонков, иметь доступ к голосовой почте, и даже отслеживать местонахождение человека.
5. Кража данных
Одна из особо сложных задач – защита информации от кражи. Красть могут сотрудники с целью навредить компании, или злоумышленники, при помощи различных программных инструментов с целью перепродажи, шантажа или вымогательства.
6. Эксплойт. Атака эксплуатирует уязвимость для повышения привилегий.
Системные уязвимости могут быть использованы злоумышленником для получения повышенных привилегий (например, приложение может запустить процесс от имени системы или админа с максимальными правами), не оставляя при этом следов. В прошлом году были освобождены сотни таких эксплойтов, в том числе инструмент, который использует уязвимость на устройствах под управлением Android 4,0-4,4 в предварительно установленном программном обеспечении резервного копирования на LG-устройствах, и уязвимости в драйверах для камеры и мультимедийных устройств на Exynos 4.
7. Wi-Fi подключения. «Человек посередине» (MitM)
Атака MitM происходит, когда устройство подключается к взломанной точке доступа Wi-Fi мошенника. Поскольку все коммуникации проходят через контролируемое злоумышленниками сетевое устройство, они могут подслушивать и даже изменять данные передаваемые по сети.
MitM атаки всегда были проблемой для беспроводных устройств, однако, распространенность смартфонов в личной и деловой жизни людей, сделала мобильные устройства гораздо более привлекательными для этого вида атак.
К сожалению, типичные признаки тревоги и предупреждения, игнорируются людьми. Также, в браузерах на мобильных устройствах часто скрывается адреса от пользователя, так что они не проверяют URL в браузере, думая, что указали один сайт, а на самом деле попадают на другой...
8. Атака нулевого дня
Атаки нулевого дня представляют эксплойты уязвимостей, которые были раскрыты, но еще не были закрыты.
После того, как на устройство атаковано, злоумышленники могут украсть пароли, корпоративные данные и сообщения электронной почты. А также, перехватывать все клавиатурные нажатия (клавиши) и протоколировать информацию (и даже делать копии экрана). Ещё они могут активировать микрофон, прослушивать разговоры и встречи, или выступать в качестве ботнета, часто крадя список контактов или текстовые сообщения (SMS-тексты).
9. DDoS-атака
Атака типа "отказ в обслуживании" становится все популярней, в связи с ростом влияния Интернета на бизнес компании. Сколько денег потеряет ваша компания, если ее сайт будет недоступен один час? Для злоумышленника это будет стоить от 5$/час. – вы и сами можете заказать такую атаку и найти расценки в Интернете.
Порой, для атаки не нужны деньги, можно использовать бесплатные инструменты и «положить» незащищенный сайт в секунды.
10. Человеческий фактор
В компании может не быть системного администратора, либо в его обучение никто не вкладывается, и системы могут быть настроены с паролями по умолчанию (любой может найти их в Интернете) и т.д.
Либо компании не делают аудит безопасности, используют слабые пароли и не меняют их годами.
Часто важные и конфиденциальные данные и файлы могут валяться в общих папках со свободным доступом к ним.
Сотрудники могут работать с учетными записями давно уволенных коллег. Легко сообщать пароль первому позвонившему и представившемуся сотрудником технической поддержки.
В некоторых компаниях пользователи могут свободно устанавливать любое ПО, имеют полный доступ к USB-портам, и в лучшем случае бесплатный антивирус с давно устаревшей базой данных.
Бывали случаи, когда у компании просто крали сервер. Либо, могли изъять органы порядка и вместе с ним все данные (базу клиентов, бухгалтерию, договора и т.д.).
Если вы узнали свою компанию, и еще не потеряли денег из-за атаки, значит вам повезло. Но будьте уверенны – это временно…
Системные уязвимости могут быть использованы злоумышленником для получения повышенных привилегий (например, приложение может запустить процесс от имени системы или админа с максимальными правами), не оставляя при этом следов. В прошлом году были освобождены сотни таких эксплойтов, в том числе инструмент, который использует уязвимость на устройствах под управлением Android 4,0-4,4 в предварительно установленном программном обеспечении резервного копирования на LG-устройствах, и уязвимости в драйверах для камеры и мультимедийных устройств на Exynos 4.
7. Wi-Fi подключения. «Человек посередине» (MitM)
Атака MitM происходит, когда устройство подключается к взломанной точке доступа Wi-Fi мошенника. Поскольку все коммуникации проходят через контролируемое злоумышленниками сетевое устройство, они могут подслушивать и даже изменять данные передаваемые по сети.
MitM атаки всегда были проблемой для беспроводных устройств, однако, распространенность смартфонов в личной и деловой жизни людей, сделала мобильные устройства гораздо более привлекательными для этого вида атак.
К сожалению, типичные признаки тревоги и предупреждения, игнорируются людьми. Также, в браузерах на мобильных устройствах часто скрывается адреса от пользователя, так что они не проверяют URL в браузере, думая, что указали один сайт, а на самом деле попадают на другой...
8. Атака нулевого дня
Атаки нулевого дня представляют эксплойты уязвимостей, которые были раскрыты, но еще не были закрыты.
После того, как на устройство атаковано, злоумышленники могут украсть пароли, корпоративные данные и сообщения электронной почты. А также, перехватывать все клавиатурные нажатия (клавиши) и протоколировать информацию (и даже делать копии экрана). Ещё они могут активировать микрофон, прослушивать разговоры и встречи, или выступать в качестве ботнета, часто крадя список контактов или текстовые сообщения (SMS-тексты).
9. DDoS-атака
Атака типа "отказ в обслуживании" становится все популярней, в связи с ростом влияния Интернета на бизнес компании. Сколько денег потеряет ваша компания, если ее сайт будет недоступен один час? Для злоумышленника это будет стоить от 5$/час. – вы и сами можете заказать такую атаку и найти расценки в Интернете.
Порой, для атаки не нужны деньги, можно использовать бесплатные инструменты и «положить» незащищенный сайт в секунды.
10. Человеческий фактор
В компании может не быть системного администратора, либо в его обучение никто не вкладывается, и системы могут быть настроены с паролями по умолчанию (любой может найти их в Интернете) и т.д.
Либо компании не делают аудит безопасности, используют слабые пароли и не меняют их годами.
Часто важные и конфиденциальные данные и файлы могут валяться в общих папках со свободным доступом к ним.
Сотрудники могут работать с учетными записями давно уволенных коллег. Легко сообщать пароль первому позвонившему и представившемуся сотрудником технической поддержки.
В некоторых компаниях пользователи могут свободно устанавливать любое ПО, имеют полный доступ к USB-портам, и в лучшем случае бесплатный антивирус с давно устаревшей базой данных.
Бывали случаи, когда у компании просто крали сервер. Либо, могли изъять органы порядка и вместе с ним все данные (базу клиентов, бухгалтерию, договора и т.д.).
Если вы узнали свою компанию, и еще не потеряли денег из-за атаки, значит вам повезло. Но будьте уверенны – это временно…
Михаил Зимин
Автор статьи
Эксперт по информационной безопасности и технический директор компании TS Solution, которая занимается защитой информации, сетевой безопасностью и системной интеграцией в области защиты данных.
Эксперт по информационной безопасности и технический директор компании TS Solution, которая занимается защитой информации, сетевой безопасностью и системной интеграцией в области защиты данных.