Информационная безопасность - зачем и как?
Обновлено: 5 дней назад
Дорогие друзья, прежде чем мы начнем, в конце статьи несколько презентаций и запись нашего вебинара.
Содержание
Введение
2022 год можно назвать годом идеального шторма для цифровизации:
уход разработчиков "железа" и программного обеспечения, как следствие увеличение стоимости и сроков поставки;
с падение платежеспособности клиентов и смена их приоритетов;
отток квалифицированных кадров;
кибервойна.
И типовая реакция у компаний была следующей:
Заморозка всех проектов развития
Ориентация на решения on-premise
Переход на «тотальную защиту»
Желание переждать на текущем ПО
Отмена установки обновлений
Что в свою очередь приводит к новым рискам:
1. Иллюзия безопасности
Стратегия заведения всех ИТ-систем во внутренний контур приводит к иллюзии безопасности – практически любую организацию можно «вскрыть» за 2 дня. Кроме того, облачные ЦОДы провайдеров изначально проектируются из концепции «вокруг все враги». А отсутствие обновлений приводит к тому, что хакерам проще использовать известные уязвимости
2. Снижение эффективности и рост стоимости информационной безопасности
Квалифицированных специалистов по ИБ на рынке недостаточно. Попытка привлечь лучших в каждую компанию приводит к гонке зарплат. К тому же, десять специалистов у единого облачного провайдера могут защитить в разы больше информации, чем эти же десять человек, работающие поодиночке в разных компаниях
3. Генерирование новых ИБ-рисков
Политика «тотальной защиты» приводит к параличу бизнес-процессов, в итоге люди выходят из защищенного контура организации и только увеличивают риски
Как атакуются люди и компании?
Количество успешных атак с 2017 по 2022 годы увеличилось с 985 до 2921, то есть на 196,5%. А средняя стоимость ущерба 1 атаки увеличилась с 50-100 тыс. рублей до 200+ млн рублей
При этом сами атаки становятся комплексными: сочетают атаки на людей и технические инструменты.
И главные зоны риска - топ-менеджмент, HR, маркетинг.
Если говорить о техниках атак, то тут так же в одной атаке может сочетаться несколько подходов, и особое внимание уделяется использованию вредоносного ПО, социальной инженерии и эксплуатации известных уязвимостей в программном обеспечении.
Социальная инженерия - это сбор данных о человеке/организации и затем психологическое манипулирование человеком, чтобы он совершил те или иные действия.
Пример – звонки мошенников от «службы безопасности банка». И самое печальное - что люди попадаются все чаще.
При этом после перехода по ссылке от злоумышленника, люди вводят свои логины и пароли до 40-50 раз подряд, не понимая почему "не работает" фишинговая форма.
Ну а бесспорный хит для использования социальной инженерии - электронная почта. При атаках на организации она используется в 9 из 10 атак.
И не застрахован никто, даже специалисты по информационной безопасности.
Обычно используются реальные адреса электронной почты. При этом в ходу наиболее «хайповые» темы писем: социальные события, увольнения и сокращения, премии
Ну а после проникновения в организацию, вредоносное ПО в 42% случаев распространяется также через почту.
Если говорить о типах вредоносного ПО, то бесспорный хит в атаках на компании - шифровальщики данных. Зачем разбираться в бизнес-процессах, если можно все зашифровать и получить выкуп? Ну а в атаках на людей - шпионское ПО.
Ключевая проблемы в организации кибербезопасности, с точки зрения технической организации:
разработчики ПО не устраняют уязвимости даже после того, как им сообщают о них;
программное обеспечение и ИТ-ландшафт организаций становятся все сложнее, а количество внешних веб-сервисов больше, а значит и возможностей для дыр все больше и больше;
даже крупные разработчики ПО стараются удешевить стоимость разработки и ищут все менее дорогих специалистов.
Также набирает популярность атака цепочку поставок. Когда атакуется разработчик и в новое обновление или внедряемое ПО закладывается уязвимость. А уже потом атакуется целевая компания
Наиболее яркий пример - атака на компанию SolarWinds в 2020 году. Её клиентами было правительство США и 400 самых крупных корпораций.
При этом даже крупные организации сейчас не проверяют поставщиков ПО на наличие типовых уязвимостей.
А требования к новым продуктам размыты: например, «должны соответствовать требованиям ИБ»
Кроме того, большинство организаций игнорирует и один из самых эффективных инструментов - киберполигоны.
Киберполигоны - виртуально-реальная копия ИТ-инфраструктуры, что делает возможным выявление недопустимых событий и сценариев, тренироваться без рисков.
Но одна организация вряд ли сможет организовать эффективный киберполигон. Просто не хватит ресурсов и не смогут собрать качественную команду для проверки и атак. Плюс крупные и публичные компании не рискуют идти на открытые учения, так как CISO понимают, что их сломают. А это политически невыгодно.
При этом у хакеров набирает популярность ИИ
подмена голоса и видео
создание вирусов
сканирование периметра организаций и поиск уязвимостей
автоматический сбор информации из открытых источников на определенные темы и подготовка фишинговых писем
Что интересует злоумышленников?
Как вы уже поняли, главный тренд последних лет, помимо нарушения работы компании - охота за данными: кража, шифрование, удаление.
Ну а среди данных главная цель у хакеров - персональные и учетные данные пользователей, коммерческая тайна.
Техники социальной инженерии
Претекстинг
Вам звонят якобы из службы безопасности банка и ведут вас по заранее подготовленному сценарию. В итоге вы должны или сделать нужное действие, или раскрыть нужную информацию.