Сегодня в рубрике «Экспертное мнение» редакция SecureNews представляет материал, посвященный анализу видов внешних угроз информационной безопасности для бизнеса и промышленности. Статью подготовил руководитель проектов по информационной безопасности в компании КРОК Павел Луцик. Автор знакомит читателей с типами угроз информационной безопасности и с механизмами кибератак, а также говорит о методах противодействия таким инцидентам.
Мы живем в мире стремительно развивающихся информационных технологий: революция 4.0, повсеместная диджитализация, интернет вещей, блокчейн – еще пару лет назад этих понятий даже не существовало. Сегодня же это мировые тренды, диктующие развитие человечества в целом. И естественно, что такая активность ИТ-рынка сопровождается возрастающей актуальностью вопроса информационной безопасности, защиты от различного рода угроз и действий злоумышленников в цифровом поле.
Если опустить аспект личной жизни граждан и защиты персональных данных, а сконцентрироваться на угрозах, которые наиболее актуальны для бизнеса и промышленности, то на сегодня условно можно выделить два основных типа угроз информационной безопасности.
К первому относится возможность осуществления атак на автоматизированные системы управления технологическими процессами (АСУ ТП). Интересно, что еще совсем недавно такой проблемы почти не существовало. Дело в том, что подобные системы функционировали в основном на аналоговых компонентах и просто не имели доступа к внешним сетям связи, что исключало возможность подключения к ним извне, а значит, и осуществления каких-либо атак. Сегодня ситуация меняется: АСУ ТП все чаще подключаются к внешним сетям, что и делает их уязвимыми для злоумышленников.
Качественная защита от данного типа угроз должна основываться на принципе комплексности, как и в классических системах. Важно использовать целый набор различных средств, среди которых в обязательном порядке должны быть те, которые способны работать с промышленными протоколами. Это могут быть инструменты выявления аномалий в промышленных сетях и на конечных узлах, а также средства мониторинга активности в промышленных протоколах.
Вторым типом угроз, на котором хотелось бы остановиться более детально, являются направленные атаки (Advanced Persistent Threat, APT). Чаще всего подобные действия представляют собой точечное незаконное и вредоносное проникновение в корпоративную инфраструктуру. Зачастую речь идет об атаках, которые осуществляются в попытке всевозможных финансовых хищений.
Успешной стратегией защиты в данном случае можно считать сбалансированный комплекс мер, включающий в себя сетевую безопасность, защиту приложений и промышленных систем (о которых мы говорили выше), разработку организационных мер, проведение тестирований на проникновение (pentest) и, конечно же, повышение осведомленности персонала.
Здесь хотелось бы отметить, что к атакам с использованием вредоносных программ чаще прибегают банковские мошенники. Они проводят атаки, подразумевающие установку на ПК клиентов банка вредоносного («троянского») ПО, способного изменить реквизиты формируемых ими транзакций или собрать важную информацию, касающуюся работы в системах дистанционного банковского обслуживания (ДБО), и отправить ее злоумышленникам.
Методов доставки «трояна» существует несколько, и они, несмотря на свою относительную известность, остаются достаточно действенными на протяжении многих лет. Так, например, рассылаются фейковые письма клиентам банка, в тексте которых есть ссылка на фишинговый сайт (с первого взгляда очень похожий на официальный сайт банка). Вредоносное ПО устанавливается на ПК после перехода по такой ссылке - это называется атака XSS (Сross Site Sсriрting). Часто она сопровождается просьбой указать различные данные клиента – классический фишинг.
Еще один метод установки «трояна» также связан с отправкой писем, но на этот раз не со ссылкой, а с вложением, при открытии которого вредоносное ПО и загружается. При успешном для мошенников исходе они могут получить удаленный доступа к ПК клиента банка (или сотрудника организации) с возможностью осуществления ряда денежных транзакций.
Постепенно схему Man-in-the-Middle стала частично заменять другая – Man-in-the-Endpoint. Суть ее заключается в том, что действия злоумышленников осуществляются не на промежуточном сервере, а происходят на локальной зараженной машине. Подобная атака в меньшей степени обращает на себя внимание со стороны антифрод-систем по причине того, что все происходит на локальном компьютере, а не из другой далекой страны, как это бывает часто при осуществлении кибератак по схеме Man-in-the-Middle.
В последнее время мошенники стали часто использовать в своих схемах интернет вещей. Например, не так давно Центральный банк предупредил своих клиентов о том, что не исключена утечка платежной информации посредством умных кофеварок, которые могут подключаться к интернету и управляются при помощи смартфонов.
Как мы видим, уловки киберпреступников с каждым годом становятся все более изощренными, их масштабы все более впечатляющими, а количество атак с каждым годом возрастает с угрожающей прогрессией. Именно поэтому вопрос информационной безопасности становится все более актуальным. Причем не только для организаций банковской, телеком- или государственной сферы, но и для многих других компаний из самых различных отраслей. Поэтому важно учиться выявлять новые типы угроз на самых ранних этапах.
