Компьютерная безопасность

Современные вызовы кибербезопасности

Количество попыток похищения данных постоянно растет, это общемировая тенденция. В отчете RiskBased Security приводятся шокирующие сведения: за 9 месяцев 2019 года зафиксированное число утечек информации приблизилось к 8 млрд случаев, что на 112 % больше по сравнению с аналогичным периодом предыдущего года.

Лидерами среди объектов хакерских атак являются медицинские и государственные учреждения, а также коммерческие организации в сфере ритейла. Объясняется интерес кибермошенников к таким базам данных возможностью использовать добытые сведения в собственных интересах, как правило, связанных с нелегальными методами конкурентной борьбы. Нередко поводом для взлома становится стремление добыть компромат на конкретного человека.

Современные вызовы кибербезопасности
Современные вызовы кибербезопасности

По прогнозам International Data Corporation, тенденция увеличения угроз в области кибербезопасности продолжится, и к следующему году на борьбу с незаконными действиями мировому сообществу потребуется не менее 133,7 млрд долларов США.

Вопросы противодействия кибератакам решаются в том числе на правительственном уровне разных стран. Например, в Национальном институте стандартов и технологий США (National Institute of Standards and Technology, NIST) разработана методика внедрения принципов безопасной IT-инфраструктуры.

Предлагаемый способ борьбы с внедрением хакерских программ заключается в постоянном мониторинге всех электронных ресурсов для своевременного обнаружения вредоносного кода и его обезвреживания до того, как он позволит злоумышленникам получить доступ к данным.

Национальным центром кибербезопасности (National Cyber Security Centre) правительства Великобритании распространено руководство 10 steps to cyber security (10 шагов к кибербезопасности), а Австралийский центр кибербезопасности (Australian Cyber Security Centre, ACSC) регулярно освещает в своих публикациях самые актуальные вопросы противодействия компьютерным мошенникам.

Видео

Устройства, которые помогают нам с сетевой безопасностью

Брандмауэры — это могут быть программы или приложения, работающие на сетевом уровне. Они защищают частные сети от внешних пользователей и других сетей. Как правило, они представляют собой совокупность программ, и их основная функция заключается в мониторинге потока трафика снаружи внутрь и наоборот. Их положение обычно находится позади маршрутизатора или перед маршрутизатором в зависимости от топологии сети.

  Их также называют устройствами обнаружения вторж

Их также называют устройствами обнаружения вторжений; их правила дорожного движения настраиваются в соответствии с правилами политики компании. Например, вы блокируете весь входящий трафик на порт POP, потому что не хотите получать почту, чтобы быть защищенным от всех возможных почтовых атак. Они регистрируют все попытки сети для последнего аудита для вас.

  • Cisco ASA Series
  • Контрольно-пропускной пункт
  • Fortinet
  • можжевельник
  • SonicWALL
  • pfSense

Типы политик

В этом разделе мы увидим наиболее важные типы политик.

  • Разрешающая политика — это политика среднего ограничения, когда мы, как администратор, блокируем только некоторые известные порты вредоносного ПО, касающиеся доступа в Интернет, и учитываются только некоторые эксплойты.

  • Благоразумная политика — это политика строгих ограничений, при которой все, что касается доступа в Интернет, заблокировано, разрешен только небольшой список веб-сайтов, и теперь на компьютерах разрешено устанавливать дополнительные службы, и для каждого пользователя ведутся журналы.

  • Политика принятия пользователя — эта политика регулирует поведение пользователей по отношению к системе или сети или даже к веб-странице, поэтому в явном виде сказано, что пользователь может делать и чего не может делать в системе. Как им разрешено делиться кодами доступа, могут ли они делиться ресурсами и т. Д.

  • Политика учетной записи пользователя — эта политика определяет, что пользователь должен делать, чтобы иметь или поддерживать другого пользователя в определенной системе.

    • Пароль должен быть сложным или нет?

    • Какой возраст должен быть у пользователей?

    • Максимально допустимое количество попыток или неудачных попыток входа в систему?

    • Когда пользователь должен быть удален, активирован, заблокирован?

  • Политика защиты информации — эта политика регулирует доступ к информации, оперативную обработку информации, способ ее хранения и способ ее передачи.

  • Политика удаленного доступа — эта политика в основном для крупных компаний, где пользователь и его филиалы находятся за пределами своей штаб-квартиры. Он сообщает, к чему должны обращаться пользователи, когда они могут работать и на каком программном обеспечении, таком как SSH, VPN, RDP.

  • Политика управления брандмауэром. Эта политика имеет прямое отношение к управлению, какие порты должны быть заблокированы, какие обновления следует выполнять, как вносить изменения в брандмауэр, как долго должны храниться журналы.

  • Специальная политика доступа. Эта политика предназначена для того, чтобы держать людей под контролем и отслеживать специальные привилегии в их системах и их назначение. Этими сотрудниками могут быть руководители команд, менеджеры, старшие менеджеры, системные администраторы и люди с таким высоким назначением.

  • Сетевая политика — эта политика ограничивает доступ кого-либо к сетевому ресурсу и указывает, кто из них получит доступ к сети.

  • Политика использования электронной почты — это одна из наиболее важных политик, которые следует выполнять, поскольку многие пользователи используют рабочую электронную почту и в личных целях. В результате информация может просочиться наружу. Некоторые из ключевых моментов этой политики — сотрудники должны знать важность этой системы, которую они имеют право использовать. Они не должны открывать вложения, которые выглядят подозрительно. Личные и конфиденциальные данные не должны отправляться через зашифрованные электронные письма.

  • Политика безопасности программного обеспечения. Эта политика касается программного обеспечения, установленного на компьютере пользователя, и того, что оно должно иметь. Некоторые из ключевых положений этой политики: Программное обеспечение компании не должно передаваться третьим лицам. Должен быть разрешен только белый список программного обеспечения, никакое другое программное обеспечение не должно быть установлено на компьютере. Warez и пиратское программное обеспечение не должны быть разрешены.

Разрешающая политика — это политика среднего ограничения, когда мы, как администратор, блокируем только некоторые известные порты вредоносного ПО, касающиеся доступа в Интернет, и учитываются только некоторые эксплойты.

Благоразумная политика — это политика строгих ограничений, при которой все, что касается доступа в Интернет, заблокировано, разрешен только небольшой список веб-сайтов, и теперь на компьютерах разрешено устанавливать дополнительные службы, и для каждого пользователя ведутся журналы.

Политика принятия пользователя — эта политика регулирует поведение пользователей по отношению к системе или сети или даже к веб-странице, поэтому в явном виде сказано, что пользователь может делать и чего не может делать в системе. Как им разрешено делиться кодами доступа, могут ли они делиться ресурсами и т. Д.

Политика учетной записи пользователя — эта политика определяет, что пользователь должен делать, чтобы иметь или поддерживать другого пользователя в определенной системе.

Пароль должен быть сложным или нет?

Какой возраст должен быть у пользователей?

Максимально допустимое количество попыток или неудачных попыток входа в систему?

Когда пользователь должен быть удален, активирован, заблокирован?

Политика защиты информации — эта политика регулирует доступ к информации, оперативную обработку информации, способ ее хранения и способ ее передачи.

Политика удаленного доступа — эта политика в основном для крупных компаний, где пользователь и его филиалы находятся за пределами своей штаб-квартиры. Он сообщает, к чему должны обращаться пользователи, когда они могут работать и на каком программном обеспечении, таком как SSH, VPN, RDP.

Политика управления брандмауэром. Эта политика имеет прямое отношение к управлению, какие порты должны быть заблокированы, какие обновления следует выполнять, как вносить изменения в брандмауэр, как долго должны храниться журналы.

Специальная политика доступа. Эта политика предназначена для того, чтобы держать людей под контролем и отслеживать специальные привилегии в их системах и их назначение. Этими сотрудниками могут быть руководители команд, менеджеры, старшие менеджеры, системные администраторы и люди с таким высоким назначением.

Сетевая политика — эта политика ограничивает доступ кого-либо к сетевому ресурсу и указывает, кто из них получит доступ к сети.

Политика использования электронной почты — это одна из наиболее важных политик, которые следует выполнять, поскольку многие пользователи используют рабочую электронную почту и в личных целях. В результате информация может просочиться наружу. Некоторые из ключевых моментов этой политики — сотрудники должны знать важность этой системы, которую они имеют право использовать. Они не должны открывать вложения, которые выглядят подозрительно. Личные и конфиденциальные данные не должны отправляться через зашифрованные электронные письма.

Политика безопасности программного обеспечения. Эта политика касается программного обеспечения, установленного на компьютере пользователя, и того, что оно должно иметь. Некоторые из ключевых положений этой политики: Программное обеспечение компании не должно передаваться третьим лицам. Должен быть разрешен только белый список программного обеспечения, никакое другое программное обеспечение не должно быть установлено на компьютере. Warez и пиратское программное обеспечение не должны быть разрешены.

В этой главе мы обсудим расширенный контрольный список, который мы будем использовать для обучения пользователей и ИТ-персонала. Когда речь идет о любых проблемах безопасности, они должны быть естественными выражениями.

Основываясь на всех главах и особенно на политиках безопасности, в следующей таблице приведен список контрольных списков, который затрагивает большинство компонентов, которые обсуждались в этом руководстве.

контрольный список Статус задания
Серверная комната
Серверная стойка установлена ​​правильно
Кондиционер присутствует
Мониторинг температуры и сигнализация на месте
Автоматическое обнаружение дыма / огня
Имеется детектор предотвращения попадания воды
Огнетушитель на месте
Подключение по локальной сети выполнено правильно
Бизнес Критические Услуги
RAID-системы доступны
Системы ИБП на месте
Аварийные системы на месте
Документация актуальна
Профессиональная поддержка предоставляется
SLA подписаны
Аварийный план подготовлен
Бизнес Интернет-аккаунт
Избыточные линии
Возможна страховка для оборудования ИКТ
Информационные системы
Сервер установлен в соответствии с Руководством по настройке политик
Стандартные объекты групповой политики настраиваются на сервере
Система безопасности выполнена
Системная документация актуальна
Резервное копирование данных настроено правильно и выполняется регулярно в соответствии с политиками резервного копирования.
Чтобы проверить правильность имен всех компьютеров, сетевых устройств, чтобы они соответствовали ИТ-политике
Стандартное программное обеспечение белого списка для выравнивания на всех ПК
Все ПК в доменной системе
Права администратора берутся у пользователей компьютеров
Программные привилегии находятся на минимально необходимом уровне
Информационной безопасности
Управление идентификацией и доступом настроено
Возможности доступа к данным сведены к минимуму до необходимого уровня
Программное обеспечение для защиты от вирусов установлено на каждом ПК
Человеческий фактор
Система ИКТ и политика использования электронной почты развернуты (должны быть проверены в соответствии с дисциплинарными мерами предосторожности)
Обучение персонала проводится регулярно
Обязанности задокументированы
Обслуживание информационных систем
Обновления безопасности установлены на всех ПК
ИКТ внутренняя система оповещения и оповещения настроена
План действий по обновлению безопасности выполнен
План развертывания обновлений безопасности на месте
генеральный
Схема сетевого IP-адреса находится в соответствии
Сетевая безопасность
Правила доступа брандмауэра и открытые порты соответствуют политике брандмауэра
Защита конфиденциальной информации на месте
Ограничение услуг связи включено
VPN настроен правильно с партнерами
Безопасность WLAN включена на всех устройствах WIFI
Ограниченный доступ в интернет настроен
Правила BYOD применяются
Управление сетью
Система управления пропускной способностью настроена
Система мониторинга сети доступна
Файлы DRP актуальны

Помните, что этот список может быть изменен в зависимости от потребностей вашей компании и персонала.

В этом разделе мы объясним некоторые важные соответствия, которые существуют вокруг технологической индустрии. В настоящее время соблюдение технологий становится все более важным, поскольку оно развивается слишком быстро, а правовые вопросы возникают чаще, чем когда-либо. Что такое соблюдение, скажем, например, мы хотим разработать программное обеспечение для управления здравоохранением, оно должно разрабатываться в соответствии со стандартами Организации здравоохранения в этой стране, и если оно будет международным, оно должно соответствовать стране, в которой он будет продаваться, что в данном случае является Законом о переносимости и подотчетности медицинской информации.

Виды киберугроз

Кибербезопасность борется с тремя видами угроз.

  1. Киберпреступление– действия, организованные одним или несколькими злоумышленниками с целью атаковать систему, чтобы нарушить ее работу или извлечь финансовую выгоду.
  1. Кибератака – действия, нацеленные на сбор информации, в основном политического характера.
  1. Кибертерроризм – действия, направленные на дестабилизацию электронных систем с целью вызвать страх или панику.

Как злоумышленникам удается получить контроль над компьютерными системами? Они используют различные инструменты и приемы – ниже мы приводим самые распространенные.

Вредоносное ПО

Название говорит само за себя. Программное обеспечение, которое наносит вред, – самый распространенный инструмент киберпреступников. Они создают его сами, чтобы с его помощью повредить компьютер пользователя и данные на нем или вывести его из строя. Вредоносное ПО часто распространяется под видом безобидных файлов или почтовых вложений. Киберпреступники используют его, чтобы заработать или провести атаку по политическим мотивам.

Вредоносное ПО может быть самым разным, вот некоторые распространенные виды:

  • Вирусы – программы, которые заражают файлы вредоносным кодом. Чтобы распространяться внутри системы компьютера, они копируют сами себя.
  • Троянцы вредоносы, которые прячутся под маской легального ПО. Киберпреступники обманом вынуждают пользователей загрузить троянца на свой компьютер, а потом собирают данные или повреждают их.
  • Шпионское ПО – программы, которые втайне следят за действиями пользователя и собирают информацию (к примеру, данные кредитных карт). Затем киберпреступники могут использовать ее в своих целях.
  • Программы-вымогатели шифруют файлы и данные. Затем преступники требуют выкуп за восстановление, утверждая, что иначе пользователь потеряет данные.
  • Рекламное ПО – программы рекламного характера, с помощью которых может распространяться вредоносное ПО.
  • Ботнеты – сети компьютеров, зараженных вредоносным ПО, которые киберпреступники используют в своих целях.

SQL-инъекция

Этот вид кибератак используется для кражи информации из баз данных. Киберпреступники используют уязвимости в приложениях, управляемых данными, чтобы распространить вредоносный код на языке управления базами данных (SQL).

Фишинг

Фишинг – атаки, цель которых – обманом заполучить конфиденциальную информацию пользователя (например, данные банковских карт или пароли). Часто в ходе таких атак преступники отправляют жертвам электронные письма, представляясь официальной организацией.

Атаки Man-in-the-Middle («человек посередине»)

Это атака, в ходе которой киберпреступник перехватывает данные во время их передачи – он как бы становится промежуточным звеном в цепи, и жертвы об этом даже не подозревают. Вы можете подвергнуться такой атаке, если, например, подключитесь к незащищенной сети Wi-Fi.

DoS-атаки (атаки типа «отказ в обслуживании»)

Киберпреступники создают избыточную нагрузку на сети и серверы объекта атаки, из-за чего система прекращает нормально работать и ею становится невозможно пользоваться. Так злоумышленники, например, могут повредить важные компоненты инфраструктуры и саботировать деятельность организации.

Что нужно знать для старта работы

Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:

  • Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.
  • Только сети — если посмотреть на структуру таких курсов, то окажется, что это учеба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
  • Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.

Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.

То есть и законам, и настройкам сети, и хакингу, и защите от взломов.

Популярные профессии в сфере кибербезопасности

Специалистов по кибербезопасности можно условно ра

Специалистов по кибербезопасности можно условно разделить на три категории:

  • White hat – работает легально, обеспечивает защиту данных компании, выявляет уязвимости и помогает избавиться от них.
  • Grey hat – к ним относятся хакеры, которые осуществляют нелегальный взлом без злого умысла и цели получить прибыль или нанести вред.
  • Black hat – такие хакеры всегда наносят вред. Они незаконно взламывают системы, сети и устройства из хулиганских побуждений или с целью извлечения выгоды, в т.ч. по заказу.

В статье мы рассматриваем только работающих в «белой» зоне экспертов по информационной безопасности. У них есть довольно много разнообразных специализаций – разберем основные.

Антифрод-аналитик

Такого рода специалисты востребованы в финтех-компаниях и в банковской сфере. Антифрод-аналитик занимается защитой онлайн-транзакций физических лиц. Он устанавливает ограничения объема трат и покупок с банковских карт, отслеживает денежные операции с банковскими картами, проводит анализ покупок с целью выявления подозрительных онлайн-операций и решает другие задачи из этой области.

Специалист по реверс-инжинирингу или аналитик кода

Занимается анализом программного кода, чтобы найти уязвимые для кибератак места в программе. Аналитик кода должен иметь базовые знания по программированию на Python,C++, ASM и др., а также знать о существующих видах уязвимостей (SANS Top-25, OWASP Top-10). Специалист по реверс-инжинирингу должен выявить угрозы и дать рекомендации по их устранению.

Разработчик системы защиты информации (СЗИ)

Эти специалисты должны совмещать навыки программирования со знанием средств защиты данных. Разработчикам СЗИ нужно знать системы DLP, облачные хранилища MS Azure и AWS, языки программирования, CI/CD, фреймворки, антивирусные решения и многое другое. Основная их задача – создать корпоративную систему защиты информации.

Специалист по форензике или расследованию кибер-преступлений

Экспертов этого направления чаще нанимают для разового расследования проблемы. Обычно их услуги требуются уже после успешного взлома или иного инцидента информационной безопасности. Расследователь кибер-преступлений находит следы проникновения в систему и восстанавливает ход событий, которые повлекли нарушение. Форензик собирает улики и разоблачает хакеров, обладает навыками программирования на популярных языках, а также понимает, в каких местах, киберпреступники обходят защиту систем.

Пентестер

Тесты на проникновение проводятся в приближенных к «боевым» условиях. Задача пентестера – взломать систему и украсть из нее данные, т.е. выявить уязвимости, устранение которых улучшит безопасность. Пентестеры востребованы в IT-компаниях, финансовых организациях и больших корпорациях вне зависимости от сферы деятельности. Им нужно знать, как работают операционные системы (Linux, Windows) и сети, и какие участки корпоративной ИТ-инфраструктуры наиболее уязвимы.

Специалист по безопасности приложений

Занимается анализом уязвимости веб-приложений и исходного кода на языках JavaScript, PHP, Ruby, , ASP, Java и пр. Специалисту по безопасности приложений понадобятся навыки работы с реляционными СУБД, знание сетевых протоколов и программ, серверов Apache, Nginx, IIS, а также другие умения в зависимости от сложности проекта.

DevSecOps

Специалист по Development Security as Code Operations (DevSecOps) обеспечивает безопасность на всех этапах разработки приложения, занимается контролем и обеспечением защиты параллельно с программированием. Процесс работы модели DevSecOps автоматизирован, что снижает риски неправильного администрирования и простоя.

Специалист по корпоративной ИТ-безопасности

Занимается сохранением данных, предотвращает кибератаки и утечку информации, укрепляет безопасности информационных систем. Корпоративный эксперт должен разбираться в правовой базе ИБ, а также обладать практическими навыками в работе с технологиями.

Кроме перечисленных выше профессий существуют также аналитики SOC, специалисты по тестированию безопасности и по архитектуре безопасности, вирусные аналитики, компьютерные криминалисты и даже этичные (белые) хакеры на вольных хлебах.

Теги