Статья Киберустойчивость.

fenix

Эксперт
Команда форума
Судья
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐⭐⭐
Private Club
Регистрация
26/8/16
Сообщения
9.688
Репутация
53.002
Реакции
52.775
RUB
10.000
Депозит
300 000 рублей
Сделок через гаранта
208
Часть 1: Самый простой компьютер для взлома.

В эпоху глобализации киберугрозы становятся все более сложными и разнообразными. Статья рассматривает, как человеческий фактор остается ключевой уязвимостью в системе кибербезопасности, несмотря на технологический прогресс.

1698144370424.png

Многие из пользователей интернета постоянно беспокоятся о растущей угрозе кибератак. Вредоносные программы, фишинг и социальная инженерия – это тактики, которые легко могут поразить обычного пользователя.

Многие из нас беспокоятся о том, как могут быть осуществлены кибератаки, но стереотипные хакеры, изображенные в СМИ — использующие продвинутое программирование и вредоносные программы для преследования своих жертв — в основном вымысел. Настоящие атаки менее замысловаты, но также опасны.

Суровая реальность такова, что большинство современных кибератак не так сложны, как когда-то считалось, особенно по сравнению с более ранними тактиками, которые росли по мере роста популярности взаимосвязанных устройств. Хотя некоторые методы атак стали более совершенными, многие векторы атак не изменились за прошедшие годы, но по-прежнему очень успешны, во многом благодаря социальной инженерии и человеческим ошибкам.

Быть и оставаться киберустойчивым

Киберустойчивость — это способность организации предвидеть, противостоять потенциальным угрозам и восстанавливаться после них без серьезного ущерба или нарушения производительности бизнеса. Используя новые технологии, поддерживая «киберфизическую форму» и создавая комплексную систему восстановления с правильными инструментами и ресурсами, можно опередить киберпреступников.

Короче говоря, быть и оставаться киберустойчивым — это один из наиболее важных шагов, которые можно предпринять, чтобы защитить себя и свою организацию.
В серии из двух статей мы расскажем о самых больших рисках в области кибербезопасности и о том, как их минимизировать. Начнем с самого простого компьютера для взлома: человека.

Самый простой компьютер для взлома

Человеческий мозг всегда был одним из самых легких объектов для взлома. Несмотря на то, что некоторые методы атаки эволюционировали со временем, использование социальной инженерии для осуществления большинства атак остается неизменным.

Большинство кибератак успешны из-за простых ошибок пользователей или из-за их игнорирования установленных лучших практик. Например, использование слабых паролей или одного и того же пароля для нескольких учетных записей крайне опасно, но, к сожалению, распространено.

Когда компания становится жертвой утечки данных, данные учетных записей могут быть проданы в даркнете, и злоумышленники попытаются использовать ту же комбинацию имени пользователя и пароля на других сайтах. Поэтому менеджеры паролей, как сторонние, так и встроенные в браузер, становятся все более популярными. Двухфакторная аутентификация (2FA) также становится все более популярной. Такой метод безопасности требует от пользователя предоставления другой формы идентификации, помимо простого пароля — обычно через проверочный код, отправленный на другое устройство, номер телефона или адрес электронной почты.

Методы доступа с нулевым доверием (Zero Trust) — следующий шаг. Здесь перед предоставлением доступа анализируются дополнительные данные о пользователе и его запросе. Такие меры защиты могут помочь обеспечить безопасность паролей, либо храня зашифрованные пароли, либо добавляя дополнительный уровень безопасности через вторичную авторизацию.

Фишинг все еще актуален

Склонность человека к легкому манипулированию также очевидна в постоянном распространении и успехе вредоносных электронных писем. Независимо от того, насколько тщательно сотрудники компании прошли обучение по вопросам безопасности, всегда найдется хотя бы один очень любознательный работник, который попадется на мошенников и перейдет по фишинговой ссылке.

Вредоносные ссылки ведут на хорошо спроектированный веб-сайт, выдающий себя за другой известный сайт и вынуждающий пользователей предоставить учетные данные или открыть неизвестные вложения, которые могут содержать вредоносное ПО. Фишинговые электронные письма обычно не очень сложны, но социальная инженерия может быть весьма убедительной: до 98% кибератак осуществляются с использованием социальной инженерии.

Социальная инженерия — это метод атаки, при котором злоумышленник атакует жертву, используя нестабильность человеческой ошибки посредством социального взаимодействия, выдавая себя за сотрудника доверенной организации. Вот почему пользователям необходим многоуровневый подход к киберзащите, чтобы их системы действительно были безопасными.

Усовершенствованная постоянная угроза (Advanced Persistent Threat, APT)

Тем не менее, существуют некоторые чрезвычайно сложные методы атаки, в основном проводимые APT-группировками. Например, в атаках на программное обеспечение хакеры используют вредоносный код для компрометации легитимного ПО до его распространения. Такие типы атак не легко блокировать и они не новы: есть много примеров, включая CCleaner, ASUS и SolarWinds.

Злоумышленники компрометируют крупного доверенного поставщика и использовать его как канал для проникновения в системы целей. Взлом может произойти по-разному, самым сложным является случай, когда злоумышленник полностью компрометирует поставщика ПО и внедряет бэкдор в следующую версию программного обеспечения.
В случае успеха заражение может быть очень скрытно, поскольку вредоносное обновление теперь загружается с официального сайта поставщика с официальными примечаниями к выпуску и действующей цифровой подписью. К сожалению, до этого момента пользователь не сможет узнать, что обновление является вредоносным.

Даже если жертва установит обновление только на несколько компьютеров для проверки совместимости, это все равно не выявит вредоносное ПО, поскольку такое вредоносное ПО обычно «спит» в течение нескольких недель после установки, прежде чем раскрыть свою полезную нагрузку. Поэтому единственным возможным способом защиты от таких атак является мониторинг поведения каждого приложения в системе в режиме реального времени, даже если считается, что программа легитимна.

За пределами троянов

Атаки через цепочку поставок не ограничиваются внедрением троянов в программное обеспечение. В прошлом году поставщик услуг приложений Okta был взломан группой злоумышленников Lapsus$. Вредоносная группа получила доступ к некоторым панелям администратора, что позволило киберпреступникам сбрасывать пароли и впоследствии обойти строгую аутентификацию. Атака привела к некоторых клиентов Okta, среди которых была и Microsoft.

Также наблюдается все больше атак, в которых хакеры «живут» за счет инфраструктуры поставщика управляемых услуг (Managed Service Provider, MSP). Такой метод называется (Living off the Land, LotL-атака). С помощью этого метода злоумышленники компрометируют сами программные инструменты, используемые поставщиками услуг для развертывания новых пакетов ПО, развертывания исправлений или мониторинга различных конечных точек.

Так, например, в апреле исследователи безопасности предупредил, что киберпреступники стали чаще использовать ПО для удаленного доступа Action1 в целях сохранения постоянства в скомпрометированных сетях и выполнения команд, сценариев и двоичных файлов.

Если злоумышленник сможет угадать пароль электронной почты администратора или получить его в результате фишинговой атаки, он сможет сбросить пароль для консоли развертывания программного обеспечения — по крайней мере, если многофакторная аутентификация (Multi-Factor Authentication, MFA) не включена. Получив доступ, киберпреступник может распространять собственное вредоносное ПО тем же способом.

В этом случае злоумышленник может не только злоупотребить эффективными способами контроля программного обеспечения для компрометации всех клиентов MSP, но и использовать те же методы для отключения инструментов безопасности и мониторинга или для удаления резервных копий.

Заключение

В эпоху цифровой трансформации кибербезопасность становится неотъемлемой частью нашей повседневной жизни. Несмотря на технологический прогресс и усовершенствованные методы защиты, человеческий фактор остается наиболее уязвимым элементом в цепи безопасности. От простых фишинговых атак до сложных стратегий со стороны групп APT, угрозы кибербезопасности постоянно эволюционируют, требуя от нас бдительности и постоянного обучения.

Осознание рисков, обучение и применение многоуровневых методов защиты — ключевые элементы в борьбе с киберпреступностью. В то время как технологии продолжают развиваться, наша ответственность как пользователей — быть информированными и готовыми к защите наших цифровых активов. На кону стоит не только личная информация, но и стабильность и безопасность глобального цифрового сообщества.








 
Часть 2: Сопротивление современным атакам.

В этом продолжении первой части статьи обсудим некоторые достижения в области искусственного интеллекта и других новых технологий, а также способы наилучшей защиты организации от новых угроз.

image


Ни для кого не секрет, что индустрия кибербезопасности растет в геометрической прогрессии с точки зрения новых технологий, но с появлением новых инструментов появляются и новые векторы атак, что также упрощает подходы к уже реализованным тактикам.

Хотя искусственный интеллект не несет 100% ответственности за этот скачок, мы знаем, что ChatGPT облегчил кибервымогателям создание более убедительных фишинговых писем, что сделало атаки по электронной почте более распространенными и их легче инициировать.

Искусственный интеллект представляет беспрецедентные риски

Учитывая быстро развивающиеся инновации в области технологий и экспоненциальный рост вариантов использования, 2023 год кажется годом искусственного интеллекта. Поскольку ChatGPT и другие ИИ-модели доминируют в заголовках мировых новостей, любой пользователь может получить доступ к новаторским инструментам, которые могут имитировать человеческую речь, обрабатывать длинный текст и обучаться с помощью сложных интеллектуальных моделей.

Со временем киберпреступники также будут использовать ChatGPT и другие подобные инструменты для проведения своих атак. Большие языковые модели (Large Language Model, LLM) могут помочь хакерам ускорить и облегчить кибератаки и упростить создание фишинговых писем на нескольких языках практически без усилий.
Однако ИИ используется не только для имитации человеческой речи – это также автоматизация кибератак. Хакеры могут использовать ИИ для:

  • автоматизации атак и анализа собственных вредоносных программ, чтобы сделать их более эффективными;
  • мониторинга и изменения сигнатур вредоносных программ, что в конечном итоге позволяет избежать обнаружения.
Существуют автоматизированные сценарии для создания и отправки фишинговых писем, а также для проверки украденных данных на предмет учетных данных конкретного пользователя.

Благодаря эффективной автоматизации и использованию машинного обучения (Machine Learning, ML) злоумышленники могут масштабировать свои операции и атаковать больше целей с помощью более индивидуализированных полезных нагрузок, что усложняет защиту от таких атак.
Один из наиболее интересных методов атак представляет собой случай, когда злоумышленники пытаются сами перепроектировать реальные модели ИИ. Такие состязательные атаки на ИИ (adversarial attacks) могут помочь хакерам понять слабые места или объекты предвзятости в определенной модели обнаружения, а затем создать атаку, которая не обнаруживается этой моделью. В конечном итоге ИИ используется для атаки на ИИ.

Компрометация корпоративной электронной почты (Business Email Compromise, BEC) остается серьезной проблемой

Развивается не только ИИ — новые средства контроля безопасности электронной почты позволяют сканировать ссылки на фишинговые сайты, но не QR-коды. Такой недостаток сканирования привел к увеличению числа преступников, использующих QR-коды для сокрытия вредоносных ссылок. Аналогичным образом, вредоносные электронные письма начинают использовать легитимные облачные приложения, например, Google Документы, для отправки пользователям поддельных уведомлений, которые обычно не блокируются средствами защиты. После того как Microsoft Office стал усложнять выполнение вредоносных макросов, киберпреступники переключились на файлы Microsoft OneNote.

К сожалению, большинство компаний подвергаются взлому из-за простых ошибок. Основная разница между компаниями, которые подвергаются взлому, и теми, которые защищены, заключается в том, насколько быстро они обнаруживают угрозы и реагируют на них.
Например, система, которая сообщает пользователю, что его пароль был украден на прошлой неделе, чрезвычайно полезна. Но было бы лучше, если бы система сообщала пользователю о краже пароля в режиме реального времени и даже автоматически меняла пароль.

Построение надежной защиты с помощью простоты и отказоустойчивости

Несмотря на растущие проблемы, которые кибератаки создают как для частных лиц, так и для предприятий, все же можно оставаться на шаг впереди и перехитрить киберпреступников. Чрезмерная сложность кибербезопасности является одной из самых больших проблем: предприятия всех размеров устанавливают слишком много инструментов в свою инфраструктуру и создают большую поверхность для проникновения хакеров.

Сокращая количество поставщиков систем безопасности, участвующих в инфраструктуре, организации также экономят много времени на обучении по использованию каждого инструмента. Они также экономят деньги, высвобождая ресурсы для других, более прибыльных направлений своего бизнеса. При хорошей интеграции инструменты могут эффективно работать в разных подразделениях.

Будьте в курсе каждого приложения и данных

Также достигнуты эффективные успехи в поведенческом анализе, который анализирует и сортирует действия отдельных приложений в системе. Сюда входят инструменты обнаружения и реагирования на конечных точках (Endpoint Detection and Response, EDR) и расширенные инструменты обнаружения и реагирования (Extended Detection and Response, XDR), которые помогают специалистам собирать больше данных и обеспечивать прозрачность деятельности. Осведомленность о каждом приложении в системе, о каждом фрагменте данных, с которым приложение работает, и о каждом сетевом соединении, которое оно осуществляет, имеет решающее значение.

Однако инструменты безопасности не должны «заваливать» администраторов тысячами предупреждений, которые необходимо анализировать вручную. Наплыв уведомлений может легко вызвать «усталость от оповещений», специалист может пропустить настоящую угрозу. По похожему принципу работает атака MFA Fatigue, которая использует уведомления многофакторной аутентификации (Multi-Factor Authentication, MFA) для взлома систем.

Чтобы этого избежать, администраторам следует использовать искусственный интеллект или машинное обучение для автоматического закрытия ложных предупреждений, тем самым освободив время ИБ-специалистов, чтобы они могли сосредоточиться на критических оповещениях.

Конечно, использование таких технологий должно выходить за рамки обычных средств безопасности. Область AIOps (Artificial Intelligence for IT Operations) повышает видимость всей инфраструктуры и использует ИИ или ML, чтобы предсказать, где произойдет следующая проблема, и автоматически противодействовать ей, пока не стало слишком поздно.

ИИ как инструмент, а не замена

ИИ-решения на основе поведения также особенно важны, поскольку само по себе обнаружение на основе сигнатур не защитит от множества новых образцов вредоносного ПО, которые появляются практически каждый день. Кроме того, ИИ может улучшить системы кибербезопасности, если специалисты предоставят правильную информацию и наборы данных, что позволит ИИ оценивать и обнаруживать угрозы быстрее и точнее, чем это мог бы сделать человек.

Использование преимуществ ИИ и ML необходимо для того, чтобы опережать злоумышленников, хотя также важно помнить, что некоторые процессы всегда требуют участия человека. Искусственный интеллект или машинное обучение следует использовать как инструмент, а не как замену. После точной настройки такие системы могут облегчить работу и в конечном итоге сохранить ресурсы.

В целом, всегда важно создавать комплексную защиту и сохранять киберустойчивость в борьбе с хакерами. Организациям необходимо подготовиться к атакам и предотвратить их как можно раньше. Это включает в себя быстрое устранение уязвимостей ПО, использование многофакторной аутентификации, а также инвентаризацию программного и аппаратного обеспечения.

Нападение, а не только защита

В заключении отметим, что организациям следует протестировать свой план реагирования на инциденты. Компаниям следует периодически проверять, смогут ли они восстановить все критически важные серверы в случае атаки, и убедиться, что они оснащены необходимыми средствами для удаления вредоносных электронных писем из всех почтовых ящиков.

Чтобы быть осведомлённым в вопросах кибербезопасности, требуется подготовка, бдительность и игра в нападении, а не только в защите. Даже несмотря на растущую изощренность некоторых атак, знание того, как обнаружить фишинг или обезопасить учетные данные, поможет в борьбе с киберугрозами. В целом, ключом к достижению киберустойчивости является укрепление защиты и упрощение её устройства.







 
  • Теги
    hack взлом киберпреступления социальная инженерия утечка данных хакер
  • Сверху Снизу