Vietnes sadaļas
Redaktora izvēle:
- iPhone klonēšana: iemesli un esošie analogi
- Kā iestatīt un iestatīt atgādinājumu iPhone tālrunī Kā iestatīt atgādinājumu iPhone 8
- Kā ievadīt militārpersonu personīgo kontu bez reģistrācijas - instrukcijas
- Militārā dienesta dienesta personīgā ieeja bez reģistrācijas, pēc personas numura
- Personālā datora ierīce
- Kā izslēgt kameru klēpjdatorā Kā iespējot vai atspējot balss vadības vēsturi
- Kā noteikt, kura skaņas karte ir instalēta datorā
- Android melnais saraksts
- Kā atrast draiverus datoram ar pielāgotu konfigurāciju
- Kā pilnībā noņemt Avast no datora?
Reklāma
Mērķtiecīgi uzbrukumi. Mērķtiecīgi uzbrukumi ir jauns vārds draudu pasaulē |
Tiem, kas nezina, kas ir "mērķtiecīgs" uzbrukums, lūdzu, jautājiet aplādei :) Pamatojoties uz šo definīciju, es vēršu jūsu uzmanību uz šādiem punktiem: Jāpiebilst, ka pastāv būtiska atšķirība standarta ļaunprogrammatūras masveida sūtīšanas pieejā, kad uzbrucēji tiecas pēc pilnīgi citiem mērķiem, būtībā iegūstot kontroli pār atsevišķu galapunktu. Mērķtiecīga uzbrukuma gadījumā tas tiek veidots ap upuri. Zemāk esošajā attēlā parādītas četras mērķtiecīga uzbrukuma fāzes, demonstrējot tā dzīves ciklu. Īsi formulēsim katra no tiem galveno mērķi:
Šis stends (pārbaudes vieta), kas sastāv no: 1. informācijas un telekomunikāciju tīkla atvērtā segmenta modeļi; 2. informācijas un telekomunikāciju tīkla slēgtā segmenta modeļi. Simulētais tīkls sastāv no daudziem komponentiem. Atvērtajā segmentā resursdatori (PC1–PC7) ir savienoti vienā tīklā, izmantojot Cisco 3745 maršrutētājus (c3745). Atsevišķos departamentos resursdatori tiek savienoti tīklā datu pārraidei, izmantojot slēdzi (SW1). Šajā shēmā slēdzis tikai pārsūta datus no viena porta uz otru, pamatojoties uz informāciju, kas atrodas paketē, kas ieradās caur maršrutētāju. Slēgtā tīkla segmentā kriptomaršrutētāji tiek izmantoti, lai šifrētu datu paketes, kas atstās slēgto tīkla segmentu uz atvērto. Ja uzbrucējam izdosies pārtvert no šī tīkla pārsūtīto datu paketes, viņš no šiem datiem nevarēs iegūt noderīgu informāciju. Par uzbrukuma objektu tika izvēlēta Windows XP, kas ietilpst informācijas un telekomunikāciju tīklu segmentā. Šī sistēma savienots ar “Real Network Output” mākoni ar IP adresi: 192.168.8.101 Nu, mēs varam sākt izpētīt lokālo tīklu, lai noteiktu elementus datortīkls turpmākai izmantošanai. Izmantosim Netdiscovery. Lai noskaidrotu iespējamās uzbrukuma tīkla ievainojamības, skenēsim šis tīkls izmantojot utilītu tīkla izpētei un drošības pārbaudei - Nmap (“NetworkMapper”). Skenēšanas laikā mēs noskaidrojām, ka sistēmai ir atvērtās ostas, kas atspoguļo iespējamās ievainojamības. Tagad mēs veicam tīkla uzbrukumu, izmantojot Metasploit. Šis rīks ļauj simulēt tīkla uzbrukumu un identificēt sistēmas ievainojamības, pārbaudīt IDS/IPS efektivitāti vai izstrādāt jaunus paņēmienus, izveidojot detalizētu pārskatu. Ekspluatācija darbosies, bet jums ir jānorāda, kas notiks pēc ekspluatācijas darbības. Lai to izdarītu, atvērsim čaulas kodu un izmantosim to kā ekspluatācijas lietderīgo slodzi, dodot mums piekļuvi komandas čaulai datorsistēmā. LHOST mēs norādām tās sistēmas IP adresi, no kuras tiks veikts uzbrukums. Ļaunprātīga programmatūra jau sen vairs nav līdzeklis sīku nedarbu veikšanai, kuras mērķis ir organizēt robottīklu surogātpasta sūtīšanai vai ārkārtējos gadījumos nozagt lietotāja internetbankas paroli, lai veiktu nesankcionētu darbību. Uzņēmumiem parastos vīrusus var uzskatīt par “nelielu sabotāžu”, kas nerada nopietnus riskus. Savukārt uzbrucējiem šī metode pelnīt naudu īpaši neinteresē, jo Ir pieejami daudzi aizsardzības rīki (pretvīrusu rīki, lietojumprogrammas ar pastiprinātiem finanšu darījumu kontroles pasākumiem utt.), kas neļauj noziedzniekam gūt lielu peļņu no uzbrukuma.
Totālās informatizācijas un tehnoloģiskā progresa laikmetā, kad e-komercijas sistēmās glabājas miljardiem dolāru, būtu naivi uzskatīt, ka nav augsti kompetentu noziedznieku, kas nevēlētos šos līdzekļus nozagt. Mūsdienās ir skaidri definēta un pieaugoša tendence izmantot mērķtiecīgus uzbrukumus vidējo un lielo uzņēmumu infrastruktūrai. Mērķtiecīgi uzbrukumi (APT, Advanced Persistent Threats)– Tie ir uzbrukumi (ļaunprātīga programmatūra), kas vērsti pret konkrētiem objektiem vai nozarēm. Tie ņem vērā uzņēmuma specifiku, kuram tie tiek piemēroti, vai uzņēmuma darbības jomu kopumā. Visiem šāda veida uzbrukumiem ir vairākas pazīmes: Nozares fokuss (vīruss/uzbrukums tiek izmantots noteiktā nozarē, bet citai tas nebūs būtisks); "Ne-triviāls" programmas kods. Kā minēts iepriekš, augsti kvalificēti speciālisti nodarbojas ar pielāgotu vīrusu rakstīšanu. Rakstot viņi ņem vērā lielāko daļu nianses, kuras var novērst standarta drošības pasākumi. Šī iemesla dēļ, piemēram, uz parakstiem balstīti pretvīrusu rīki, visticamāk, nespēs atklāt šādu programmas kodu kā ļaunprātīgu. Šī iemesla dēļ uzbrucējs sistēmās var palikt neatklāts ilgu laiku un savākt nepieciešamo statistiku, lai veiksmīgi pabeigtu uzbrukumu. Parasti uzbrucēji izmanto nulles dienas darbības, lai īstenotu mērķtiecīgus draudus. 0diena (ang. Nulle diena)- termins, kas apzīmē nefiksētas ievainojamības, kā arī ļaunprātīgu programmatūru, pret kuru vēl nav izstrādāti aizsardzības mehānismi. Ekspluatācijas svarīgākais uzdevums ir nemanot iekļūt korporatīvajā perimetrā, nostiprināties, ja iespējams, likvidējot pretvīrusu rīku, un savilkt visu uzbrucēja aprīkojumu ērtam un “produktīvam” darbam. Kā liecina 2013.-2014.gada statistika, uzbrucēji šajā jomā guvuši milzīgas uzvaras. Vispirms Zevs un pēc tam Karberps gan Krievijā, gan visā pasaulē kļuva par īstu postu. Zādzību apjoms, izmantojot šīs divas vīrusu ģimenes vien, gada laikā sasniedza vairākus miljardus dolāru. Vidējais veiksmīgi īstenotais uzbrukums kādam kredītu un finanšu sektora uzņēmumam Krievijā bija 30 miljoni rubļu. Šādas aizdomīgas darbības pēdējos gados ir saistītas ar stāstu par ļoti “augstas kvalitātes” ļaunprātīgas programmatūras pirmkoda noplūdi tīklā. “Slavenā banku Trojas zirga Carberp pirmkods ir noplūdis uz atvērta piekļuve. Avota kodi Google tagad viegli atrod Carberp 1,88 GB RAR arhīvā. Izpakojot, projektā ir aptuveni 5 GB faili ar detalizētu sarakstu. Acīmredzot tagad mēs varam sagaidīt jaunu radošuma vilni gan no iesācējiem, gan turpmākajiem vīrusu rakstītājiem. Kāds pat jokoja: “Zeusa noplūde bija kā bezmaksas spēļu automāts. Carberp noplūde jau ir bezmaksas raķešu palaišanas ierīce…”, informācijas drošības eksperts, žurnāla Hacker autors Deniss Mirkovs "Ko tad mums tagad darīt?!" – Jautājums, kas neviļus iekrīt kaklā jebkuram apsargam. Tas nāk prātā Emanuela Laskera citātu 1899. gadā: "Vienīgais veids, kā kļūt gudrākam, ir spēlēt ar spēcīgāku pretinieku." Tehnoloģijas un izstrādātāji nestāv uz vietas, ja būs pieprasījums, būs pienācīgs piedāvājums. Galvenā problēma nulles dienas draudu noteikšanā ir nespēja atrast pazīstamus parakstus, analizējot kodu. Bet tas nenozīmē, ka jebkura faila uzvedību nevar uzraudzīt, pārbaudīt ar “melnās kastes” metodi un izdarīt atbilstošus secinājumus! Uzvedības analīze smilšu kastē ir vislielākā efektīvs veids nulles dienas draudu un mērķuzbrukumu analīze un atklāšana. Savus risinājumus piedāvā dažādi ražotāji, apgalvojot, ka viņu produkts ir visproduktīvākais un precīzākais. Tomēr šāda veida risinājumu galvenā problēma ir viltus pozitīvi (viltus pozitīvi), kas var noliegt visu drošības dienesta darbu. Izvēlētajam risinājumam jābūt jutīgam tikai pret nopietniem draudiem. Šādas koncepcijas ieviešana jau ir profesionalitāte un pieredze, kas bija jāpārvērš sarežģītos algoritmos un jāievieš galaproduktā. Mērķtiecīgu uzbrukumu (APT) īpatnība ir tāda, ka uzbrucēji interesējas par konkrētu uzņēmumu vai valsts organizāciju. Tas atšķir šos draudus no masu hakeru uzbrukumi– kad vienlaicīgi tiek uzbrūk liels skaits mērķu un par upuriem kļūst vismazāk aizsargātie lietotāji. Mērķtiecīgi uzbrukumi parasti ir labi plānoti un ietver vairākus posmus – no izlūkošanas un iefiltrēšanās līdz klātbūtnes pēdu iznīcināšanai. Parasti mērķtiecīga uzbrukuma rezultātā uzbrucēji iegūst stabilitāti upura infrastruktūrā un paliek neatklāti vairākus mēnešus vai pat gadus – šajā laikā viņiem ir pieejama visa korporatīvā informācija. Klasifikācijas grūtībasMērķtiecīgi vai mērķtiecīgi uzbrukumi ir uzbrukumi konkrētām komerciālām organizācijām vai valsts iestādēm. Parasti šādi uzbrukumi nav plaši izplatīti un tiek gatavoti diezgan ilgu laiku. Uzbrucēji pēta mērķa objekta informācijas sistēmas, noskaidro, ko programmatūra izmanto vienam vai otram mērķim. Uzbrukuma mērķi ir konkrētas informācijas sistēmas un/vai cilvēki, kuru darbības joma vai mērķis ir ļoti ierobežots. Ļaunprātīga programmatūra speciāli izstrādāts uzbrukumam, lai standarts antivīrusi un drošības pasākumi, ko izmantoja mērķis un labi pētīja uzbrucēji, nespēja atklāt draudus. Visbiežāk tās ir nulles dienas ievainojamības un īpaši algoritmi saziņai ar uzbrukumu izpildītājiem/pasūtītājiem. Jurijs Čerkass, centra infrastruktūras informācijas drošības risinājumu vadītājs informācijas drošība kompānijas "Reaktīvās informācijas sistēmas" uzskata, ka gandrīz pastāvīgās pretrunas saistībā ar termina "mērķtiecīgs uzbrukums" definīciju apgrūtina šī termina klasificēšanu. Viņš atzīmē, ka mērķtiecīgam uzbrukumam tiek izmantoti tādi paši uzlaušanas mehānismi kā jebkurā citā ( spams , pikšķerēšana, bieži apmeklētu vietņu infekcija utt.). “Manuprāt, viena no galvenajām mērķtiecīga uzbrukuma pazīmēm ir tā skaidra koncentrēšanās uz konkrētu organizāciju. Piemēram, vīruss, kas rakstīts noteiktai programmatūrai, ko izstrādājusi konkrēta organizācija. Taču ne vienmēr tā ir. Hakeris var izmantot savus esošos ekspluatācijas komplektus un citus rīkus, lai uzbruktu cietušajam uzņēmumam. Šajā gadījumā ir diezgan grūti noteikt, vai uzbrukums ir mērķtiecīgs, jo ievainojamības ir izplatītas OS un lietojumprogrammatūra," saka Jurijs Čerkass. Grūtības kvalificēt mērķuzbrukumus ir viens no faktoriem, kas neļauj aprēķināt pat to aptuveno skaitu. CDU (sarežģīti ilgtermiņa draudi) Lielākā daļa ekspertu piekrīt šādām mērķa iezīmēm:
Mērķa uzbrukuma fāzesUzbrukumu mērķiSaskaņā ar A.T. Kernijs:
Mērķtiecīgi uzbrukumi finanšu sektorāPārskatā par neautorizētiem naudas līdzekļu pārskaitījumiem 2014. gadā, ko publicēja TSB RF dienu iepriekš tiek atzīmēts, ka 23 kredītiestādes ziņoja par incidentiem, kuros bija mērķtiecīgu uzbrukumu pazīmes. Eksperti lēš, ka incidenti bijuši vērsti uz līdzekļu norakstīšanu 213,4 miljonu rubļu apmērā. Visi incidenti ir saistīti ar pavasara ietekmi uz IT infrastruktūra tostarp ļaunprātīga koda ieviešana, pateicoties kurai augsto tehnoloģiju noziedznieki plānoja izņemt līdzekļus. Uzlaušanas mēģinājumiem ir raksturīgas iezīmes: uzbrukums bija mērķtiecīgs un ņēma vērā ziņojumu nosūtīšanas un apstrādes procesu īpatnības noteiktā maksājumu sistēma; dažos gadījumos ļaundabīgo kodu neatklāja standarta pretvīrusu aizsardzības rīki, neskatoties uz jaunākajām pretvīrusu datubāzēm; fakti par hakeru iespiešanos vietējie tīkli bankām, tostarp mēģinot ievadīt ļaunprātīgu kodu, izmantojot elektroniskus ziņojumus. Banku pārstāvji norāda: ja agrāk krāpnieki labprātāk izvēlējušies aplaupīt klientus, tad tagad pārgājuši uz lielāku laupījumu, proti, pašām finanšu iestādēm. “Šī ir sarežģītāka procedūra, taču no peļņas viedokļa hakeriem ērtāk ir uzlauzt bankas, kurās nauda atrodas vienuviet. Galvenā tendence kļūst par tā sauktajiem mērķtiecīgiem uzbrukumiem. Tie tiek sagatavoti vairāku mēnešu garumā un saistībā ar konkrētām bankām un finanšu organizācijām. Tas ir reāls drauds, no kura ir ļoti grūti pasargāt pat visattīstītākos informācijas drošība bankas. Uzbrucēji ir diezgan labi izpētījuši banku programmatūru, banku pamatsistēmas, drošības pasākumus un tā tālāk,” norāda Jurijs Lisenko, Nodaļas vadītājs informācijas drošība burka Mājas kredīts. Viņam piekrīt un Staņislavs Pavluņins, drošības viceprezidents Tinkoff banka: “Mērķtiecīgi uzbrukumi iet roku rokā ar sociālo inženieriju. DDoS uzbrukumi nekur nav pazuduši, taču strādāt ar tiem ir daudz vieglāk nekā ar vīrusiem, kurus uzbrucēji raksta mērķtiecīgām darbībām. Standarta antivīrusi neatklājiet ļaunprātīgus objektus, kas ir rakstīti uzbrukuma mērķim. Sistēmas, kas ļauj reģistrēt šādus mērķtiecīgus uzbrukumus konkrētai finanšu organizācijai un lidojuma laikā identificēt riskus, ir cita drošības klase,” saka Staņislavs Pavluņins. Tajā pašā laikā Jurijs Lisenko prognozē mērķtiecīgu uzbrukumu skaita pieaugumu konkrētām bankām un finanšu organizācijām, sistēmām attālināti bankas pakalpojumi utt. Mērķtiecīga uzbrukuma tehnikaPubliski pieejamā informācija par mērķuzbrukumu veikšanas līdzekļiem un incidentu izmeklēšanu (kuriem ir mērķtiecīgu uzbrukumu pazīmes) liecina par dažādām metodēm. Piemēram, var izmantot pilnībā automatizētas metodes un telefona zvanus. Uzbrukuma laikā uzbrucēji pēta dažādas iespējas piekļūt nepieciešamajai informācijai. Var veikt tieši fiziska piekļuve vai uzbrūk uzņēmuma darbiniekiem, viņu ierīcēm un Konti interneta pakalpojumos. “Par būtisku problēmu kļūst saistīto informācijas sistēmu – piegādātāju uzņēmumu (īpaši programmatūras izstrādātāju, kas nodrošina atbalstu saviem produktiem) un klientu drošība. Uzticamas attiecības ar viņiem var izmantot, lai apietu robežu aizsardzību. Tas būtiski paplašina jau tā sarežģīto aizsardzības perimetru,” stāsta Aleksejs Kačaļins, uzņēmuma ģenerāldirektora vietnieks "Perspektīvā uzraudzība". Maz ticams, ka upuris spēs izbēgt no mērķtiecīgu uzbrukumu mēģinājumiem. Piemēram, uzbrucējs vēlas piekļūt viņu interesējošā uzņēmuma iekšējiem resursiem. Šim nolūkam uzbrucējs var ierosināt daudzus mērķtiecīgus uzbrukumus vairāku mēnešu vai gadu laikā. Visi uzbrukuma elementi ( tīkla uzbrukumiem, ļaunprogrammatūra) var iepriekš pārbaudīt, lai noteiktu parasto noteikšanas metožu atbilstību. Ja tie ir neefektīvi, šādi elementi tiek pārveidoti. Līdzīgi kā pretvīrusu datubāzu atjaunināšana, var atjaunināt arī ielaušanās rīkus, tostarp tos, kas jau darbojas uztvertajā sistēmā. Papildu komplikācija ir mērķtiecīgā uzbrukuma ilgums un intensitāte. Sagatavošanās var ilgt mēnešus, un aktīvā fāze var ilgt minūtes. “Pastāv iespēja, ka agri vai vēlu uzbrukums izdosies. Galu galā 0 dienu ievainojamību problēma vienmēr ir aktuāla. Ja jums ir informācija, kas ir 100 miljonu vērtībā, tad esiet gatavi tam, ka būs kāds, kas būs gatavs tērēt 50 miljonus, lai to nozagtu. Tāpēc vienīgais, ko var darīt, ir jābūt gatavam kompromisam un ir instrumenti, lai ātri atklātu uzbrukumu, apturētu to un samazinātu kaitējumu,” uzskata. Aleksandrs Gostevs, galvenais antivīrusu eksperts Kaspersky Lab. Organizatoru izveideLielākā daļa mērķtiecīgu uzbrukumu tiek atklāti pēc fakta. Lielākā problēma joprojām ir piedēvēšana – šādu uzbrukumu organizatoru un izpildītāju identificēšana. Vainīgā identificēšana ir ārkārtīgi grūts uzdevums, norāda eksperti. Šajā procesā nepieciešams apkopot maksimālo faktoru skaitu, kas liecinātu par noteiktas tautības vai organizācijas hakeru grupas iesaistīšanos nozieguma izdarīšanā. Tas prasa mijiedarbību starp uzņēmumiem, kas darbojas šajā jomā informācijas drošība, cietušie, tiesībaizsardzības iestādes dažādas valstis utt. Taču arī šajā gadījumā tiek identificēti tikai daži vainīgie, visbiežāk uzbrucēju rupju kļūdu dēļ. "Lai noteiktu uzbrukuma avotu, ir jāņem vērā daudzi faktori. Pirmkārt, šī ir koda analīze - tajā var būt vārdi, kas netieši norāda uz autoru lingvistisko vai nacionālo piederību. Piemēram, krievu valodas vārdi, kas rakstīti latīņu valodā, vai kļūdas, kas parasti raksturīgas krievu autoriem utt. Taču kibernoziedznieki var apzināti atstāt šādas nepatiesas pēdas, tādējādi mulsinot izmeklēšanu,” sacīja. Aleksandrs Gostevs. Vairāk nekā 100 grupējumi apzināti uzbrūk komerciālām un valdības organizācijāmEksperti no Globālo draudu izpētes un analīzes centra Kaspersky Lab gada vasarā ziņoja, ka visā pasaulē darbojas vairāk nekā 100 aktīvu grupu, kas organizē kiberspiegošanas kampaņas un ART klases uzbrukumus, kuru mērķis ir komerciālas un valdības organizācijas 85 valstīs. Pēc uzņēmuma pārstāvju domām, šāda dinamiska šī apdraudējuma attīstība liecina, ka mērķtiecīgi uzbrukumi vairs nav dažu izredzēto kompetencē: uzbrucēji optimizē savus paņēmienus un rīkus, un tas padara lētāku un vienkāršāku ļaunprātīgas kampaņas organizēšanu, kas savukārt, veicina jaunu spēlētāju rašanos. ART klases uzbrukuma galvenais mērķis ir zādzība konfidenciāla informācija, ko vēlāk var izmantot ģeopolitisku priekšrocību iegūšanai vai pārdot interesentiem. Saskaņā ar Kaspersky Lab novērojumiem vislielākais risks kļūt par mērķtiecīga uzbrukuma upuriem ir valdības un diplomātiskās organizācijas, finanšu uzņēmumi, uzņēmumi, kas darbojas enerģētikas un kosmosa nozarē, veselības aprūpes un izglītības iestādes, telekomunikāciju un IT uzņēmumi, militāro dienestu piegādātāji, kā arī sabiedriskie un politiskie aktīvisti. "Mēs esam pētījuši sarežģītus mērķtiecīgus uzbrukumus vairāk nekā sešus gadus un ar pārliecību varam teikt, ka pēdējā laikā tie arvien vairāk tiek izmantoti ne tikai spiegošanai, bet arī naudas zagšanai. Mērķtiecīgi uzbrukumi skar ļoti dažādas organizācijas, un par to upuriem var kļūt ne tikai valsts aģentūras. Uzbrucējus ne mazāk interesē lielie uzņēmumi, kuriem ir vērtīgs intelektuālais īpašums vai kuriem ir pieejami lieli finanšu aktīvi, sacīja Kaspersky Lab Krievijas pētniecības centra vadītājs Jurijs Namestņikovs. "Šādā situācijā mērķtiecīga uzbrukuma agrīna atklāšana ir kritiska jebkurai organizācijai, kas vēlas saglabāt savus konfidenciālos datus. Tomēr to ir ļoti grūti izdarīt ar tradicionālajiem drošības risinājumiem, jo uzbrucēji bieži izmanto ne-triviālas metodes un rūpīgi slēpj savu darbību. Tāpēc uzņēmumiem var palīdzēt vai nu analītiskie pakalpojumi, vai īpaši risinājumi mērķtiecīgu uzbrukumu identificēšanai. Uzbrukumu aizsardzības un novēršanas metodesGalvenie aizsardzības līdzekļi pret mērķtiecīgiem uzbrukumiem mūsdienās ir visu veidu anomāliju (kods, komandas, uzvedība utt.) noteikšanas līdzekļi. Kurā:
Gandrīz visiem pārdevējiem ir kāds produkts, kas tiek pozicionēts kā aizsardzības līdzeklis pret mērķtiecīgiem uzbrukumiem. Tie ietver FireEye , CheckPoint , McAfee utt. Aizsardzības pret mērķuzbrukumiem efektivitāti nevar pilnībā noteikt tikai ar izmantotajiem tehniskajiem līdzekļiem. “Ja runājam par tehniskajiem līdzekļiem, to efektivitāte tiks skatīta caur uzņēmuma izvirzīto mērķu un uzdevumu prizmu, ko vislabāk novērtēt pilotprojektu ietvaros konkrētā vidē. Tāpat kā jebkuram risinājumam, arī produktiem, kas aizsargā pret mērķtiecīgiem uzbrukumiem, ir gan savas stiprās, gan vājās puses,” saka Alīna Sagidulļina, konsultants par informācijas drošība kompānijas "LANIT-integrācija". Informācijas drošības uzraudzības centriem ir iespēja ātri reaģēt uz mērķtiecīgiem uzbrukumiem. Šādi centri var vispusīgi analizēt uzbrukuma sistēmas stāvokli, izmantojot informācijas drošības sistēmas; ar ekspertu palīdzību, kas orientēti uz informācijas drošības analīzi uzraugāmajā sistēmā; uzraugot kompromisa faktus un informācijas noplūdi; lielu informācijas sistēmu kumulatīvā analīze. "Tas ļauj mums redzēt līdzīgas anomāliju pazīmes dažādos segmentos informācijas sistēma", saka Aleksejs Kačaļins. Tehnoloģijas aizsardzībai pret mērķuzbrukumiem pastāvējušas jau iepriekš, taču tagad tās sasniedz jaunu līmeni. Pirmkārt, runa ir par dažādiem anomāliju noteikšanas instrumentiem – abiem vietējie datori, un tīkla aktivitātes līmenī. Šādu sistēmu uzdevums ir meklēt kaut ko neparastu, kas notiek, nevis meklēt ļaunprātīgu gadu. Tas ir tāpēc, ka daudzos gadījumos uzbrucēji var neizmantot ļaunprātīgu programmatūru. “Šīm sistēmām ir pievienota aktīvi attīstoša klase SIEM– “Drošības informācija un notikumu pārvaldība”, kas ļauj apkopot ienākošos sistēmas notikumus no dažādas sistēmas aizsardzība ( antivīrusi , ugunsmūri, emulatori, maršrutētāji utt.) un reāllaikā redzēt visas notiekošās izmaiņas,” stāsta Aleksandrs Gostevs. Kāpēc ar tradicionālajām drošības sistēmām nepietiekSakarā ar mērķtiecīgu uzbrukumu specifiku un sagatavošanos tiem, piemēram:
Tradicionālo drošības risinājumu raksturīgo tehnoloģisko ierobežojumu dēļ:
Ir nepieciešama integrēta pieejaMaldināšanas lamatasIr parādījušies un turpina parādīties jauni rīki. Tomēr to efektivitāte ir tieši atkarīga no to iestatījumu kvalitātes. Saskaņā ar Jurijs Čerkass, galvenās aizsardzības līdzekļu tehnoloģiskās jomas ir:
"Nianse ir tāda, ka visas šīs tehnoloģijas ietver uzvedības analīzi. Šajā gadījumā 1. tipa (viltus pozitīvi) un 2. tipa (viltus negatīvi) kļūdas ir neizbēgamas, tāpēc efektivitāte lielā mērā ir atkarīga no darbinieku kvalifikācijas, kas veido un izmanto šos risinājumus,” atzīmē Jurijs Čerkass. Maldināšana- maskētu tīklu slazdu un ēsmu tīkls, kas ir izkaisīti IT infrastruktūra Ko Maldināšana nodrošinās
rezultātus
Uzbrukumu radītie bojājumi ir liels noslēpums pat upuriemNav iespējams aprēķināt reālo kaitējumu no mērķtiecīgiem uzbrukumiem: saskaņā ar ESET 66% drošības incidentu paliek neatklāti daudzus mēnešus. Tas ir tieši tas, kam komplekss ir "pielāgots". ļaunprogrammatūra mērķtiecīgiem uzbrukumiem: datu zādzība notiek nemanot, fonā. Liels skaits uzbrukumu paliek neatklāti. Atklājot, daudzi uzņēmumi cenšas slēpt notikušā faktu un nepublisko to. IN Kaspersky Lab uzskata, ka katru nedēļu visā pasaulē kļūst zināms vismaz viens augsta līmeņa mērķtiecīgs uzbrukums. Patiesībā nedēļā var notikt vairāk nekā simts šādu augsta līmeņa uzbrukumu. Positive Technologies eksperti ir fiksējuši uzbrukumu īpatsvara samazināšanos, izmantojot kriptovalūtas kalnrači- līdz 3% organizācijām un līdz 2% kampaņām, kas vērstas uz privātpersonām. Šis fakts var būt saistīts ar pakāpenisku uzbrucēju pāreju uz HPE, kas spēj veikt vairākas funkcijas vienlaikus. Piemēram, Clipsa Trojas zirgs var slepeni "raktuves" kriptovalūta, nozagt paroles, nomainīt kriptovalūtu maka adreses un arī uzsākt brutālu spēku uzbrukumus vietnēm, kuru pamatā ir WordPress.
Pieaug ļaundabīgo programmu infekciju īpatsvars. Trīs ceturtdaļas uzbrukumu juridiskām personām un 62% uzbrukumu indivīdiem pavadīja dažāda veida infekcijas ļaunprogrammatūra. Lai gan uzņēmuma infrastruktūras inficēšana parasti sākas ar pikšķerēšanas e-pastu, personas biežāk kļūst par upuriem, apmeklējot apdraudētus tīmekļa resursus (35% uzbrukumu privātpersonām). Positive Technologies eksperti arī atklāja, ka vasaras beigās pēc vairākiem miera mēnešiem viens no lielākajiem robottīkli pasaulē, ko sauc par Emotet. Bottīklu operatori darbojas saskaņā ar ļaunprātīgu programmatūru kā pakalpojumu (MaaS) shēmu un nodrošina kibernoziedznieki piekļuvi Uz datori, inficēti ar Emotet, lai tos turpmāk inficētu ar citu ļaunprātīgu programmatūru, piemēram, Trickbot vai Ryuk. Pēc pētnieku domām, informācija par lielāko daļu kiberuzbrukumu organizācijām netiek publiskota reputācijas risku dēļ. Pozitīvās tehnoloģijas: APT uzbrukumu iezīmju analīze rūpniecībā un degvielas un enerģētikas nozarēPozitīvās tehnoloģijas: APT metodes, ko izmanto uzbrukumos finanšu iestādēmSalīdzinājumā ar iepriekšējo gadu notikušas dramatiskas izmaiņas IT vadītāju prioritāšu trijniekā. 41% respondentu kā galveno prioritāti nosauca datu aizsardzību pret mērķtiecīgiem uzbrukumiem. Pirms gada šī pozīcija nebija IT vadītāju prioritāšu sarakstā. Pirmkārt, vidējo komersantu (43%) un lielo uzņēmumu (38%) pārstāvji kā prioritāti nosauca aizsardzību pret mērķuzbrukumiem. Mazos uzņēmumus mazāk interesē jautājums par mērķuzbrukumiem (32%). Mērķtiecīgi uzbrukumi pirmo reizi kļuva par aktīvu diskusiju objektu pasaules sabiedrībā jau 2009. gadā. Tad kļuva zināms par Stuxnet uzbrukumu. Varbūt mēs varam teikt, ka šeit tas sākās nesenā vēsture mērķtiecīgi kiberuzbrukumi. Plašāk par to, kas ir šāda veida kibernoziegumi un kā šādi uzbrukumi var izpausties, lasiet mūsu materiālā. Kas ir mērķtiecīgi uzbrukumi? Mērķtiecīgi (vai mērķtiecīgi) uzbrukumi ir iepriekš plānotas darbības pret konkrētu valsti vai nevalstisko vienību vai organizāciju. Parasti kibernoziedznieki, kas veic mērķtiecīgus uzbrukumus, ir profesionāļi, viņus var salīdzināt ar tradicionālajiem uzbrucējiem, kuri pēc pieprasījuma zog automašīnas: viņiem ir konkrēts mērķis, viņi pēta automašīnas drošības pasākumus, lai tos veiksmīgi apietu. Mūsdienās hakeru aktivitātes iegūst arvien vairāk tradicionālā biznesa iezīmju. Tirgū ir sava veida “melnais tirgus” - ēnu shēmas un programmatūras pārdošanas vietas, kas nepieciešamas, lai uzbruktu konkrēta uzņēmuma IT infrastruktūrai. Ir fiksētas cenas, kuras var viegli atrast internetā. Var atrast pat jau izveidotas produktu līnijas: kibernoziedznieku “uzņēmumi” paplašina pārdošanas piltuvi, sagatavojot individuālas risinājumu modifikācijas, ņemot vērā dažādus mērķa segmentus. Ir cenas robottīkliem, un tiek aktīvi izziņotas jaunas Trojas zirgu versijas. Jūs pat varat iegādāties mērķtiecīgu uzbrukumu kā pakalpojumu. Kiberuzbrucēji veido savus attīstības plānus, par kuriem arī tiek aktīvi paziņots. Paziņojumi, kā likums, tiek sniegti slēgtos avotos,” saka Andrejs Arefjevs, InfoWatch produktu attīstības vadītājs. – Bet tomēr varam teikt, ka mūsdienu robottīklu industrijai piemīt visas pilnvērtīgu komerciālo produktu īpašības. Saskaņā ar neatkarīgiem pētījumiem pēdējo gadu laikā robottīklu izveidei izmantoto pakalpojumu skaits ir pieaudzis desmitkārtīgi. Turklāt pēdējos gados ir būtiski mainījies uzbrukumu raksturs: tie ir kļuvuši ļoti sarežģīti. Šodienas uzbrukumi ir kļuvuši sazarotāki: uzbrucēja puse cenšas pielāgoties paša uzņēmuma infrastruktūrai un padarīt uzbrukumu pēc iespējas neredzamu. Uzbrukums ir vai nu jākonstatē pēc iespējas vēlu, vai arī nav jāatklāj vispār. Tāpēc šādi uzbrukumi, kā likums, laika gaitā tiek pagarināti un kļūst pamanāmi tikai tad, kad ir pienācis laiks aktīvi izpausties. Mērķtiecīgiem uzbrukumiem IT infrastruktūrai ir šādas īpašības:
Kā starprezultātu var atzīmēt, ka, ja netiek novērotas redzamas uzbrukuma pazīmes uzņēmuma IT infrastruktūrai, tas nenozīmē, ka tai netiek uzbrukts,” rezumē Andrejs Arefjevs. Mērķtiecīgu uzbrukumu piemēri Saskaņā ar vairākiem atklātajiem avotiem, Trojas vīrusu programmas ieviešanas “ieejas punkts” bieži vien ir nelojālu uzņēmuma darbinieku iekšējā darbība. Pirms neilga laika līdzīgu piemēru varēja novērot Irānā. Šī uzbrukuma galvenais mērķis bija ierobežot Irānas kodolprogrammu. Cik zināms, suverēna valsts kontrolēja bagātināšanas kodolcentrifūgas, un vairākas iekārtas tika pārvestas uz avārijas režīmu. Centrifūgas ātri sabojājās, un to remonts prasīja laiku un naudu, tāpēc urāna bagātināšana aizkavējās. Kā noskaidrojām, šis uzbrukums bija iepriekš plānots, veikts un īstenots ilgā laika posmā. Uzbrukuma mērķis nebija iekārtu zagšana, bet gan rūpniecisko objektu kontrole. Ir biedējoši iedomāties, kas varētu notikt, ja kāds sāktu kontrolēt atomelektrostaciju: tās pārslēgšana avārijas režīmā draud vismaz ar otro Černobiļu... Tomēr par uzbrucēju mērķiem kļūst ne tikai stratēģiski svarīgi objekti un lielas valdības organizācijas. Nesen vienam uzņēmēju organizācijas īpašniekam bija iespēja par to pārliecināties personīgi. Viņi mēģināja inficēt uzņēmuma serveri, izmantojot kontaktu ievainojamības - uzņēmuma īpašniekam paveicās ar to, ka tika uzbrukts tikai grāmatveža datoram. Ļaunprātīga programmatūra ir programma, kas ļauj nesankcionēti piekļūt konfidenciālai informācijai, izmantojot ievainojamības. Šādas programmas parasti izmanto, lai iegūtu primāro piekļuvi uzņēmuma tīklam. Parasti sistēmas ievadīšana nozīmē piekļuvi datiem, kad sistēma tiek atsāknēta. Izpildāmā moduļa “reģistrācija” ir tā restartēšana katru reizi. Ļaunprātīga programmatūra var nonākt uzņēmuma darbinieka datorā ne tikai pēdējā ļaunprātīga nolūka dēļ, bet arī hakeru izmantotas sociālās inženierijas rezultātā (piemēram, kibernoziedznieks var lūgt upurim sekot noteiktai saitei vai apmeklēt trešo partijas resurss). Tā rezultātā upuris kļūst pieejams uzbrukumam, un uzbrucēji iegūst piekļuvi operētājsistēma darbinieka darba dators. Tagad varat palaist ļaunprātīgus failus, lai pēc tam iegūtu kontroli pār savas organizācijas datoriem. Iepriekš uzskaitītās darbības sauc par "nulles dienas uzbrukumiem". Kādi dati visbiežāk tiek nozagti? Tas lielā mērā ir atkarīgs no uzņēmuma profila. Hakeru mērķis var būt rūpnieciskie noslēpumi un slēgta plāna stratēģiskās izstrādes, maksājumi un personas dati. Interesanti, ka saskaņā ar pētījumiem 63% aptaujāto saprot, ka mērķtiecīgs uzbrukums viņu uzņēmumam ir tikai laika jautājums. Mērķtiecīgu uzbrukumu noteikšanas metodes: Parakstu analīze. Paraksta analīzes veikšana nozīmē, ka analītiķiem fails ir inficēts ar vīrusu. Studējot tādus ļaunprogrammatūraļauj noņemt no tā parakstu (digitālo pirkstu nospiedumu). Pēc paraksta ievadīšanas datu bāzē varat pārbaudīt, vai fails nav inficēts ar šo vīrusu, vienkārši salīdzinot parakstus. Parakstu analīzes priekšrocība ir tā, ka tā ļauj precīzi diagnosticēt uzbrukumu. Ja ir fails ar atbilstošu parakstu, mēs varam droši teikt, ka dators ir ietekmēts. Parakstu analīzei ir vairākas priekšrocības:
Būtisks parakstu analīzes trūkums ir nepieciešamība atjaunināt parakstu datu bāzi. Lielākā daļa uzņēmumu ir spiesti atjaunināt parakstu datubāzi ik pēc 15 minūtēm. Tajā pašā laikā ik pēc pusstundas a jauns vīruss. Tālāk seko ilgs reģistrēšanas un izpētes process, un tikai pēc tam paraksts tiek ievadīts datu bāzē. Līdz šim brīdim uzņēmums ir bijis neaizsargāts pret jauno vīrusu. Vēl viena iepriekš identificētas ļaunprātīgas programmatūras izpētes metode ir heiristiskā analīze. Heiristiskās analīzes funkcija ir pārbaudīt, vai izpildāmajā kodā nav aizdomīgu darbību, kas raksturīga vīrusu darbībai. Šis paņēmiens ir labs, jo tas nav atkarīgs no datu bāzes atbilstības. Tomēr heiristiskajai analīzei ir arī savi trūkumi. Sakarā ar to, ka visi galvenie antivīrusi ir zināmi un pieejami lietošanai ikvienam, hakeri var pārbaudīt rakstīto programmatūru un modificēt to, līdz tā apiet visus zināmos pretvīrusu aizsardzības rīkus. Tādējādi galveno heiristisko algoritmu efektivitāte tiek samazināta līdz neko. Vēl viena mērķtiecīgu uzbrukumu noteikšanas metode ietver tā saukto nākamās paaudzes ugunsmūru izmantošanu, kas papildus tradicionālajām iespējām ļauj arī filtrēt trafiku. Ugunsmūru galvenais trūkums ir to pārmērīgā „aizdomība”, tie rada lielu skaitu viltus pozitīvu rezultātu. Turklāt ugunsmūri izmanto tehnoloģijas, kuras var maldināt (smilškaste, heiristiskā analīze un parakstu analīze). Lietojumprogrammu palaišanai tiek izmantota arī cita aizsardzības metode. Tās ideja ir ļoti vienkārša: stacija var tikai palaist individuālie pieteikumi(to sauc par balto klausīšanos). Negatīvā puse ir tāda, ka Baltais saraksts» ir jāietver katra lietotājam nepieciešamā lietojumprogramma. Praksē šī metode, protams, ir diezgan uzticama, taču ļoti neērta, jo palēnina darba procesus. Visbeidzot, ir nesen izstrādāta tehnoloģija dinamiskai uzbrukumu noteikšanai, kas tiek izmantota InfoWatch Targeted Attack Detector produktā, saka Andrejs Arefjevs. – Šī tehnoloģija pamatā ir fakts, ka uzbrucēju darbības neizbēgami noved pie uzņēmuma IT sistēmu modifikācijām. Tādēļ InfoWatch risinājums periodiski skenē organizācijas IT sistēmu, apkopojot informāciju par kritisko objektu statusu. Saņemtie dati tiek salīdzināti ar pagātnes skenēšanas rezultātiem, pēc tam tiek veikta inteliģenta notikušo izmaiņu analīze, lai noteiktu anomāliju klātbūtni. Ja tiek atklāta nezināma ļaunprogrammatūra, uzņēmuma analītiķis tiek iesaistīts tā darbību un iespējamā kaitējuma uzņēmuma infrastruktūrai analīzē. - Kurā stadijā uzbrukumu iespējams klasificēt kā mērķtiecīgu? Faktiski anomāliju noteikšana ir galvenā pazīme, ka jūsu sistēma darbojas nepareizi, un ir netieša pazīme, ka uzņēmums tiek uzbrukts. Turklāt uzbrukumā nav obligāti jāiesaista Sarkanā oktobra līmeņa vīruss. Kā liecina prakse, pietiek ar nelielu Trojas zirgu, kas periodiski tiek nosūtīts tālāk. Principā ar to pietiek, lai ienestu naudu konkrētiem kiberuzbrucējiem. Kopumā es gribētu atzīmēt, ka mērķtiecīgi uzbrukumi ir spēcīgs instruments ietekmēt lielo valdības un komerciālo organizāciju korporatīvo politiku. Tāpēc ir nepieciešams sistemātiski un rūpīgi apkarot šāda veida kibernoziegumus. Jeļena Kharlamova |
Populārs:
Jauns
- Kā iestatīt un iestatīt atgādinājumu iPhone tālrunī Kā iestatīt atgādinājumu iPhone 8
- Kā ievadīt militārpersonu personīgo kontu bez reģistrācijas - instrukcijas
- Militārā dienesta dienesta personīgā ieeja bez reģistrācijas, pēc personas numura
- Personālā datora ierīce
- Kā izslēgt kameru klēpjdatorā Kā iespējot vai atspējot balss vadības vēsturi
- Kā noteikt, kura skaņas karte ir instalēta datorā
- Android melnais saraksts
- Kā atrast draiverus datoram ar pielāgotu konfigurāciju
- Kā pilnībā noņemt Avast no datora?
- GPT konvertēšana uz MBR — diska izkārtojuma maiņa