Виды компьютерных атак.
Наши компьютерные системы уязвимы к различным видам атак. Для защиты системы от этих атак,важно знать,распространенные компьютерные атаки.В сегодняшнем мире это стало почти обыденной ситуацией,когда мы слышим о персональных компьютерных системах или сетях,которые подвергаются нападению. В наш век технологий, существуют различные типы компьютерных атак,от которых надо защитить свои драгоценные данные, системы и сети.В то время как некоторые атаки могут просто повредить данные на компьютере, есть и другие атаки, где данные из компьютерной системы могут быть украдены,а также другие атаки, когда может быть закрыта вся сеть.
Проще говоря, существуют два основных типа атак, пассивные атаки и активные атаки.Пассивные атаки являются теми,когда данные на компьютере, отслеживаются и позже используются для вредоносных интересов,в то время как активные атаки,это те,когда либо изменения в данных или данные будут удалены или сети полностью разрушены.Ниже приведены некоторые из наиболее распространённых типов активных и пассивных атак, которые могут повлиять на компьютеры.
Активные виды компьютерных атак
Вирус
Наиболее известные компьютерные атаки и вирусы,которые были вокруг в течение длительного периода времени.Они устанавливаются на компьютеры и распространяются на другие файлы в системе. Они часто распространяются через внешние жесткие диски, или посредством определенных интернет-сайтов или как вложения по электронной почте.После того, как вирусы запускаются, они становятся независимыми от творца, и их цель заразить множество файлов и других систем.
Root Kit
Хакеры получают доступ в систему с использованием корневого набора драйверов и полностью берут управление компьютером.Они относятся к числу наиболее опасных компьютерных атак,так как хакер может получить больше контроля над системой, чем владелец системы. В некоторых случаях хакеры могут также включить вебкамеру и следить за деятельности потерпевшего,зная о нем всё.
Trojan
В списек компьютерных атак,троянский конь занимает самый высокий рейтинг после вирусов.
Он часто встраивается в кусок программного обеспечения, в экранные заставки, или в игры,которые будет работать в обычном режиме.Однако, как только они будут скопированы в систему, они будут заражать компьютер вирусом или root-kit. Другими словами, они действуют как носители вирусов или руткиты, чтобы заразить систему.
Червь
Червями можно назвать родственниками вирусов. Разница между вирусами и интернет-червями в том,что черви заразить систему без какой-либо помощи от пользователя. Первый шаг в том, что черви сканируют компьютеры на уязвимость.Затем они копируют себя в систему и заражают систему,и процесс повторяется.
Пассивные типы компьютерных атак
Подслушивание
Как подсказывает название,хакеры будут вкрадчиво слышать разговор который происходит между двумя компьютерами в сети. Это может произойти в закрытой системе,а также через интернет. Другие имена,с которыми это связывают snooping. С подслушиванием, конфиденциальные данные могут внести свой путь по сети и могут быть доступны для других людей.
Парольные атаки
Одним из наиболее распространенных типов кибер-атак парольные атаки.Здесь хакеры получают доступ к компьютеру и ресурсам сети путем получения пароля управления.Часто можно увидеть,что злоумышленник изменил сервер и конфигурацию сети и в некоторых случаях даже могут удалить данные.Кроме того, данные могут передаваться в разные сети.
Скомпрометированный ключ атаки
Для хранения конфиденциальных данных,может быть использованы секретный код или номер.Получить ключ,без сомнения, настоящая огромная задача для хакера,и не исключено, что после интенсивных исследований хакер,действительно,способен положить руки на клавиши. Когда ключ находится в распоряжении хакера, он известен как скомпрометированный ключ. Хакер, теперь будут иметь доступ к конфиденциальным данным и может внести изменения в данные. Однако, существует также вероятность того, что хакер будет пробовать различные перестановки и комбинации ключа для доступа к другим наборам конфиденциальных данных.
Имитация удостоверения
Каждый компьютер имеет IP-адрес, благодаря которому он является действительным, и независимым в сети.Одной из распространённых компьютерных атак является предположение личности другого компьютера.Здесь IP-пакеты могут быть отправлены с действительных адресов и получить доступ к определенному IP. Как только доступ будет получен,данные системы могут быть удалены, изменены или перенаправлены.Кроме того, хакер может воспользоваться этим взломанным IP адресом и напасть на другие системы в пределах или за пределами сети.
Application Layer атаки
Целью атаки на уровне приложений-это вызвать сбой в операционной системе сервера.Как только будет создана ошибка в операционной системе,хакер сможет получить доступ к управлению сервером.Это в свою очередь приводит к изменению данных различными способами. В систему может быть внедрён вирус или могут отправляться многочисленные запросы к серверу, которые могут привести к её сбою или может быть отключен контроль безопасности, из-за которого восстановление сервера,может стать затруднительным.
Это были некоторые типы атак,которым могут подвергнуться сервера и отдельные компьютерные системы.Список новейших компьютерных атак продолжает увеличиваться с каждым днем, для этого хакеры используют новые методы взлома.
Оцените статью: Поделитесь с друзьями!Самые популярные способы кибератак и как им противостоять
{«id»:66070,»url»:»https:\/\/vc.ru\/microsoft\/66070-sposobi-kiberatak»,»title»:»\u0421\u0430\u043c\u044b\u0435 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u044b \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a \u0438 \u043a\u0430\u043a \u0438\u043c \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u0441\u0442\u043e\u044f\u0442\u044c»,»services»:{«facebook»:{«url»:»https:\/\/www.facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/microsoft\/66070-sposobi-kiberatak»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.com\/share.php?url=https:\/\/vc.
ru\/microsoft\/66070-sposobi-kiberatak&title=\u0421\u0430\u043c\u044b\u0435 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u044b \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a \u0438 \u043a\u0430\u043a \u0438\u043c \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u0441\u0442\u043e\u044f\u0442\u044c»,»short_name»:»VK»,»title»:»\u0412\u041a\u043e\u043d\u0442\u0430\u043a\u0442\u0435″,»width»:600,»height»:450},»twitter»:{«url»:»https:\/\/twitter.com\/intent\/tweet?url=https:\/\/vc.ru\/microsoft\/66070-sposobi-kiberatak&text=\u0421\u0430\u043c\u044b\u0435 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0435 \u0441\u043f\u043e\u0441\u043e\u0431\u044b \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a \u0438 \u043a\u0430\u043a \u0438\u043c \u043f\u0440\u043e\u0442\u0438\u0432\u043e\u0441\u0442\u043e\u044f\u0442\u044c»,»short_name»:»TW»,»title»:»Twitter»,»width»:600,»height»:450},»telegram»:{«url»:»tg:\/\/msg_url?url=https:\/\/vc.
8204 просмотров
Пять изощрённых кибератак, которые нарушили работу бизнеса
{«id»:69351,»url»:»https:\/\/vc.ru\/microsoft\/69351-5-atak»,»title»:»\u041f\u044f\u0442\u044c \u0438\u0437\u043e\u0449\u0440\u0451\u043d\u043d\u044b\u0445 \u043a\u0438\u0431\u0435\u0440\u0430\u0442\u0430\u043a, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043d\u0430\u0440\u0443\u0448\u0438\u043b\u0438 \u0440\u0430\u0431\u043e\u0442\u0443 \u0431\u0438\u0437\u043d\u0435\u0441\u0430″,»services»:{«facebook»:{«url»:»https:\/\/www.facebook.com\/sharer\/sharer.php?u=https:\/\/vc.ru\/microsoft\/69351-5-atak»,»short_name»:»FB»,»title»:»Facebook»,»width»:600,»height»:450},»vkontakte»:{«url»:»https:\/\/vk.
ru\/microsoft\/69351-5-atak»,»short_name»:»Email»,»title»:»\u041e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u043d\u0430 \u043f\u043e\u0447\u0442\u0443″,»width»:600,»height»:450}},»isFavorited»:false}4490 просмотров
Самые громкие кибер-атаки на критические инфраструктуры
Одна из самых сильных сторон нашего современного развитого общества является также одним из самых главных его недостатков. В нынешнем взаимосвязанном мире развитые и высокотехнологичные социумы сильно зависят от работы ряда служб и сервисов, которые в настоящее время стали жизненно необходимыми.
Определенная инфраструктура обеспечивает нормальную работу основных служб и производственных систем в любом обществе. Поэтому сбой в их работе в силу естественных причин, технических неполадок или преднамеренных действий может иметь серьезные последствия для поставки ресурсов или работы критических служб, не говоря уже об угрозе безопасности.
В последние годы во всем мире неуклонно растет уровень кибер-преступности.
Развитие Интернета и цифровая трансформация общества представляет собой «палку о двух концах», т.к. все это дает определенные возможности для преступников. Но что может произойти, если критически важные сети станут целью для преступного сообщества?
Антивирусная лаборатория PandaLabs компании Panda Security опубликовала белую книгу под названием «Критическая инфраструктура: кибер-атаки на основы современной экономики» с хронологией самых громких атак в мире против информационной безопасности объектов критической инфраструктуры и рекомендациями по их защите.
Важные секторы и критическая инфраструктура
Защита критической инфраструктуры является важной проблемой для всех стран. Высокий уровень развития современного общества во многом зависит от ряда основных и важных услуг, в значительной степени оказываемых частным бизнесом.
Инфраструктура обеспечивает нормальную работу крайне важных для развития государства служб и систем: правительственные органы, водоснабжение, финансовые и налоговые системы, энергетика, космос, атомные электростанции и транспортные системы, крупные производственные предприятия.
К критически важной инфраструктуре мы относим объекты, сети, службы и системы, сбой в работе которых в любом случае отразится на здоровье, безопасности и благосостоянии граждан страны.
Гарантированное предоставление жизненно важных услуг в условиях новых угроз — это не только ответственность государственных органов, но также и частных компаний на национальном и международном уровнях.
Технические характеристики
Определенные технические характеристики и уровень уязвимости критических данных в таких сетях означают, что их защита не является тривиальной задачей.
Новые вторжения в кибер-физические системы производственных процессов, запущенных в критической инфраструктуре, создали потребность в новых стратегиях, адаптированных для обнаружения таких угроз без препятствий в работе самой инфраструктуры.
Гибридная архитектура
Различные критические инфраструктуры основаны на гибридной архитектуре, сочетающей в себе классические IT-сети и промышленные OT-сети, которые управляют компонентами, взаимодействующими с физическими объектами (кибер-физические системы).
Изоляция от Интернета
Этот аспект заслуживает отдельного внимания, т.к. растущая тенденция к взаимодействию всех типов инфраструктуры также расширяет количество доступных векторов атаки. Системы контроля для таких инфраструктур, как правило, изолированы от Интернета и подключены в
пределах внутренней сети.
SCADA
Впрочем, существуют такие системы контроля SCADA, которые видимы и даже доступны через Интернет. Большинство таких систем не имеют прямой связи с теми системами, которые управляют критической инфраструктурой, но они могут использоваться в качестве шлюза, чтобы хакеры могли получать конфиденциальную информацию для планирования более сложных атак.
Стратегический приоритет решения проблемы
Современные народы сталкиваются с многочисленными проблемами, касающимися национальной безопасности. В этом плане стратегические приоритеты направлены на защиту критической инфраструктуры, которая может подвергаться ряду новых угроз.
Для ее защиты важно составить план, который предлагает предотвращение и защиту от потенциальных угроз, как с точки зрения физической безопасности, так и защиты технологий и коммуникаций.Изменился и подход к обеспечению безопасности таких объектов. Раньше безопасность являлась исключительной прерогативой государственных органов. Теперь объекты критической инфраструктуры, в основном, находятся в руках частного бизнеса, а потому он также несет серьезную ответственность за их безопасность. После трагедии 11 сентября США создали Министерство внутренней безопасности и приняли целый ряд соответствующих законов и постановлений.
В Европе подобная инициатива появилась после своего ключевого события: 11 марта 2004 года, взрывов поездов в Мадриде.
Европейская комиссия разработала глобальную стратегию по защите критической инфраструктуры («The European Programme for Critical Infrastructure Protection»), которая включает в себя комплекс мер по профилактике, предотвращению и реагированию на террористические атаки в Европе.
Среди прочего, директива устанавливает, что основная и конечная ответственность за защиту критических инфраструктур лежит на государствах-членах Евросоюза и операторах такой инфраструктуры, а также она настоятельно призывает все страны Евросоюза внедрять в свое национальное законодательство ряд мер и инициатив.
История атак
В целом, общественность, хоть и допускает определенные риски, но все же считает, что в реальности речь может идти о небольшом количестве кибер- атак на критическую инфраструктуру. К сожалению, все намного печальнее: мы уже знаем сотни задокументированных случаев таких атак во всем мире. Атаки на такие сети ведутся уже десятилетия, и ниже Вы сможете познакомиться с историей данных атак.
Сибирский нефтепровод
Термин «Интернет» приходит на ум всякий раз, когда мы думаем о кибер-атаках на критическую инфраструктуру.
Но первая подобная кибер-атака произошла еще до появления Интернета — в 1982 году.
Тогда группа хакеров смогла установить троян в SCADA-систему, которая контролировала работу сибирского нефтепровода, что привело к мощному взрыву. Атака была организована ЦРУ, хотя об этом не было известно до 2004 года, когда бывший секретарь Министерства обороны США и советник Р. Рейгана Томас Рид опубликовал свою книгу “At the Abyss: An Insider’s History of the Cold War”.
Chevron
Следующий инцидент произошел спустя десять лет, в 1992 году, когда был уволен рабочий нефтяной компании Chevron, который взломал компьютеры в офисах компании в Нью-Йорке и Сан-Хосе, отвечавшие за системы предупреждений, перенастроив их на аварию после запуска системы. Этот саботаж не был раскрыт до тех пор, пока не произошло утечки ядовитого вещества в Редмонде (штат Калифорния), при этом система не выдала соответствующих предупреждений.
В результате тысячи людей были подвержены огромному риску в течение 10 часов, пока система была отключена.Salt River Project
В августе 1994 года Лейн Джаррет Дэвис сумел взломать сеть Salt River Project, получив доступ к информации и удалив файлы из системы, отвечающей за мониторинг и подачу воды и электричества. Он также сумел получить доступ к персональным и финансовым данным клиентов и сотрудников компании.
Аэропорт Worcester
Другие ключевые секторы также пострадали от направленных атак. 10 марта 1997 года хакер проник в систему управления, используемую для коммуникаций системы контроля воздушного движения в Вустере (США, штат Массачусетс), вызвав сбой системы, которая отключила телефонную связь на шесть часов. Особенно это повлияло на телефонную систему башни управления, пожарной службы аэропорта и
авиакомпаний, базирующихся в аэропорту.
Газпром
В 1999 году хакеры нарушили работу систем безопасности российского энергетического гиганта — компании «Газпром».
С помощью инсайдера они использовали троян, чтобы иметь возможность управлять SCADA- системой, контролирующей подачу газа. К счастью, это не привело к серьезным последствиям, а нормальная работа системы была восстановлена в кратчайшие сроки.Maroochy Water System
Бывший сотрудник Maroochy Water System (Австралия) получил два года тюремного заключения за взлом в 2000 году системы управления водоснабжением, в результате чего миллионы литров сточных вод попали в ближайшую реку, что привело также к затоплению местной гостиницы.
Газоперерабатывающий завод
Газоперерабатывающий завод, построенный одной американской компанией, также подвергся атаке в 2001 году. 6-месячное расследование показало, что атака была проведена одним из поставщиков, который для сокрытия сделанной им ошибки, решил отвлечь внимание, взломав три ПК компании и вызвав отключение подачи газа для домашних и корпоративных клиентов в одной из европейских стран.
PDVSA
В декабре 2002 года нефтяная компания PDVSA из Венесуэлы подверглась атаке, в результате которой добыча нефти сократилась с 3 млн.
до 370 тыс. баррелей в сутки. Во время атаки было взломано несколько корпоративных компьютеров.Она была проведена во время забастовки сотрудников предприятия, чтобы можно было предположить их причастность.
Светофоры в Лос-Анджелесе
В 2006 году два инженера по организации дорожного движения в Лос-Анджелесе взломали городские светофоры в знак протеста. Им удалось изменить программу работы некоторых светофоров, размещенных на важных участках, после чего они стали гореть красным цветом, что привело к серьезным пробкам.
Трамвайная сеть в Лодзе
В 2008 году 14-летний студент взломал системы трамвайной сети в польском городе Лодзь, в результате чего 4 трамвая сошли с путей, а 12 человек получили травмы. Студент создал инфракрасный пульт дистанционного управления, как у телевизоров, с помощью которого он смог контролировать трамвайные перекрестки.
Saudi Aramco
В 2012 году крупнейшая нефтяная компания в мире Saudi Aramco стала жертвой направленной атаки на свои офисы.
Хакеры получили доступ к сети благодаря атаке на одного из сотрудников компании, через которого смогли получить доступ к 30 000 компьютеров в сети. В какой-то момент хакерам удалось удалить содержимое всех компьютеров, в то время как на экранах показывался горящий американский флаг.Ответственность за атаку взяла на себя группа хакеров, называвших себя “Меч правосудия”.
Ram Gas
Всего лишь через две недели после атаки на Saudi Aramco, катарская компания RamGas, второй в мире производитель сжиженного природного газа, был атакован той же вредоносной программой, которая использовалась для атаки на нефтяную компанию из Саудовской Аравии. В течении нескольких дней не работали внутренняя корпоративная сеть и веб-сайт компании.
Металлургический завод в Германии
В 2014 году в Германии жертвой атаки стал один из металлургических заводов. Используя социальную инженерию, хакеры сумели получить доступ к компьютеру одного сотрудника, с которого они смогли получить доступ к внутренней сети системы управления.
В результате этого стало невозможным выключить одну из домен, что нанесло огромный ущерб предприятию.Электросеть Украины
В конце 2015 года Украина подверглась кибер-атаке на свою национальную электросеть, в результате чего свыше 600000 жителей остались без электричества.
Первая в истории кибер-атака против Интернет-инфраструктуры
Несмотря на длинный список инцидентов, первая в истории кибер-атака на Интернет-инфраструктуру произошла 27 апреля 2007 года, когда в Эстонии ряд атак обрушил сайты различных организаций, включая парламент, различные министерства, банки, газеты и различные СМИ и т.д.
Впрочем, атака также была направлена на определенные непубличные адреса, включая национальную систему обработки финансовых ордеров и телекоммуникационные службы. Урмас Пает, министр иностранных дел Эстонии, публично обвинил российские власти в причастности к данным атакам, хотя он не смог предоставить каких-либо доказательств этому.
Самый известный случай кибер-атаки на критическую инфраструктуру: Stuxnet
В 2008 году мы стали свидетелями одного из самых печально известных в истории случаев кибер-атак на критические инфраструктуры: Stuxnet.
Сейчас уже известно, что это была скоординированная атака израильских и американских спецслужб, направленная на срыв ядерной программы Ирана.Они создали червя, который заразил компьютеры, управляющие урановыми центрифугами на иранском заводе в Натанзе, в результате чего они стали работать на полной скорости, в то время как инженеры на своих мониторах наблюдали нормальный режим работы. Это нанесло физический ущерб всем урановым центрифугам на заводе. После этого случая общественность узнала о подобного рода угрозах.
Атаки в других компаниях также затрагивали объекты критической инфраструктуры
Помимо атак, специально осуществляемых для причинения ущерба подобного типа инфраструктуры, атаки, подобные тем, с которыми сталкиваются другие компании, также негативно влияют на критические объекты, а последствия иногда были такими же серьезными. Подобные проблемы в основном начались в конце прошлого десятилетия, т.к. сетевые черви стали распространяться в Сети сами по себе.
Например, случай на ведущей в США фабрике по выпуску продуктов питания, когда вирусная инфекция нанесла ущерб, измеряемый тысячами долларов. Один сотрудник удаленно подключился с домашнего ПК, который был заражен вирусом Nimda. Как только он вошел в корпоративную сеть, червь распространился на все системы управления.
В 2003 году нефтяная компания из США пострадала от червя SQLSlammer, который проник во внутреннюю сеть. Хотя это не привело к остановке производства, но он повлиял на внутренние коммуникации.
Пришлось потратить несколько дней для полного удаления червя из сети и обновления систем для предотвращения дальнейших атак. Кстати, данный червь был одним из самых разрушительных для компаний.
Для распространения, он использовал уязвимость в серверах баз данных SQL (стандартный инструмент в корпоративных сетях). Уязвимость была исправлена Microsoft в январе 2003 года. Кстати, другая американская нефтяная компания начала обновлять все свои объекты сразу же после появления этого патча, чтобы оградить себя от этого червя.
Однако, для завершения обновления необходимо было перезагрузить серверы, на которых этот патч был установлен, в то время как некоторые из них находились на нефтяных платформах, где не было выделенного IT-персонала. Для этого пришлось отправлять специалистов на вертолете. И пока они не успели приехать, червь проник в некоторые корпоративные системы и заразил те из них, которые еще не успели обновить.
В том же 2003 году один из крупнейших автопроизводителей в США также пострадал от атаки червем SQLSlammer, который мгновенно распространился на его 17 заводах. Общий ущерб для компании составил 150 млн. долларов США. Хотя патч уже был доступен на протяжении шести месяцев, ИТ-менеджеры компании до сих пор не установили его.
В том же году от вредоносной инфекции (та вредоносная программа не была публичной) пострадал компьютер авиакомпании Air Canada, отвечающий за летную информацию, заправку топлива и пр. В результате инфекции 200 рейсов были задержаны или отменены.
В 2005 году в Японии компьютер сотрудника компании Mitsubishi Electric был заражен вредоносной программой, что привело к утечке конфиденциальных инспекционных документов о двух атомных электростанциях, принадлежащих данной компании.
В 2006 году два компьютера в больнице (Великобритания), отвечающие за управление комплексом лучевой терапии для больных раком людей, были заражены вредоносной программой. В результате этого пришлось отложить лечение 80 пациентов. Спустя два года еще три больницы в Великобритании были заражены вариантом червя Mytob, после чего пришлось отключить все компьютеры от сети на 24 часа для решения инцидента.
В 2013 году были заражены 200 компьютеров Департамента автомобильных дорог и транспорта в округе Кук (штат Иллинойс, США). Эти системы отвечали за поддержание сотни километров дорог в пригороде Чикаго. В результате атаки пришлось отключать сеть на 9 дней, чтобы вылечить все компьютеры.
Этот список инцидентов показывает, что опасность кибер-атак на критические инфраструктуры вполне реальна, и сегодня правительства всех стран знают об этих рисках.
Дополнительная защита для критической инфраструктуры
Учитывая реальность, которую мы наблюдаем и в которой мы живем, необходимо регулировать защиту критической инфраструктуры, чтобы обеспечить ей более высокий уровень защиты от всех типов угроз.
В мае 2016 года после встречи министров энергетики стран G7, была принята совместная декларация, в которой, среди прочего, был поставлен акцент на важности создания отказоустойчивых энергосистем (включая газ, электричество и нефть), чтобы эффективно реагировать на появляющиеся кибер-угрозы и поддерживать нормальную работу жизненно необходимых служб.
Чтобы усовершенствовать меры по предотвращению и реагированию на логические атаки, правительства стран осуществляют ряд мер на глобальном уровне. Эти меры направлены на создание центров по сбору всей необходимой информации для улучшения защиты критических инфраструктур. Как результат, была разработана комплексная стратегия для решения данной проблемы, которая должна быть включена в национальное законодательство этих стран.
Нелегко ответить на вопрос, насколько безопасность объектов критической инфраструктуры адекватна в настоящее время, т.к. неизвестна информация или техники, которые могут быть использованы кибер-преступниками, а потому нельзя быть на 100% в безопасности.
Что можно улучшить — это защиту от известных атак, для предотвращения которых необходимо применять ряд эффективных мер:
1. Проверка систем на уязвимости, особенно тех систем, на которых уже были зафиксированы дыры безопасности и они были известны в течение некоторого времени.
2. Адекватный мониторинг сетей, используемых для контроля таких объектов критической инфраструктуры, и при необходимости их полная изоляция от внешних соединений, что позволит обнаруживать внешние атаки и предотвращать доступ к системам, управляемым из внутренней сети.
3. Контроль над съемными устройствами, что важно в любой инфраструктуре не только потому, что они являются направлением таких атак, как в случае с Stuxnet. При защите таких объектов критической инфраструктуры крайне важно, чтобы вредоносные программы не проникали во внутреннюю сеть через съемные устройства, которые также могут bспользоваться и для кражи конфиденциальной информации.
4. Мониторинг ПК, к которым подключены программируемые логические контроллеры (или PLC). Эти подключенные к Интернету устройства являются наиболее чувствительными, т.к. они могут предоставлять хакерам доступ к критически важным системам управления. Даже если они не смогут получить контроль над системой, они смогут получить ценную информацию для других направлений атаки.
Решение
Решение состоит в защите от современных угроз и направленных атак, которая также должна позволить обнаруживать необычное или подозрительное поведение. Система, которая должна обеспечить конфиденциальность данных, защиту активов и репутации компании.
Интеллектуальная платформа, которая может помочь специалистам по безопасности критической инфраструктуры оперативно реагировать на угрозы и получать всю необходимую информацию для подготовки адекватного ответа.
Решение Adaptive Defense 360 — система расширенной ИТ-безопасности, которая сочетает новейшие технологии защиты и современные технологии обнаружения и реагирования на атаки с возможностью классификации 100% выполняемых процессов.
Adaptive Defense 360 классифицирует абсолютно все активные процессы на компьютерах, обеспечивая защиту от известных вредоносных программ и атак «нулевого дня», постоянных угроз повышенной сложности (AРТ) и направленных атак.
Платформа использует контекстную логику для выявления вредоносных моделей поведения и генерации улучшенных действий информационной защиты от известных и неизвестных угроз.
Решение анализирует, классифицирует и сопоставляет все собираемые данные о кибер-угрозах, чтобы выполнять задачи по предотвращению, обнаружению, реагированию и восстановлению.
Решение определяет, каким образом и кем был осуществлен доступ к данным, а также контролирует утечку данных в результате работы вредоносных программ или действий сотрудников.
Решение обнаруживает и устраняет системные уязвимости и дыры в установленных программах, а также предотвращает использование нежелательных приложений (тулбары, рекламное ПО, дополнения и пр.).
пять способов защиты от кибератак / Блог компании Comparex / Хабр
До наступления нового тысячелетия наиболее частыми угрозами в сфере информационных технологий являлись вирусы, простые вредоносные коды.
Для необходимой защиты против стандартных кибератак достаточно было установить антивирусную программу на основе сигнатурного метода обнаружения. Сегодняшние атаки на информационные системы компании являются куда более сложными и требуют специальных слоев защиты, в частности для ключевых инфраструктур. Наш эксперт по безопасности Анья Дёрнер подготовила обзор пяти способов для защиты от кибератак.Текущая версия отчета компании Symantec об угрозах безопасности в Интернете демонстрирует, что взломщики тщательно выбирают своих жертв. В частности, под удар попадают крупные и средние предприятия. Индустрия безопасности говорит о целенаправленных устойчивых угрозах Advanced Persistent Threat (APT). В отчете компании Symantec говорится о том, что прежде чем совершить атаку, взломщики собирают подробную информацию о компании. Их целью является получение информации о структуре компании, о том, какие сотрудники имеют наиболее широкий доступ к системам, какие сайты сотрудники ежедневно используют для получения информации и т.
д.
Достаточно только взглянуть на пример атаки сообщества Dragonfly для того, чтобы понять, как может выглядеть целенаправленная кибератака:
Атака Dragonfly в качестве примера АРТ
Из диаграммы видно как разворачивалась вся кампания атаки Dragonfly. С 2013 года этой атаке подвергались энергетические компании в следующих странах:
Dragonfly: Западные энергетические компании находятся под угрозой саботажа
Dragonfly – это сообщество хакеров, которое предполительно расположено в восточной Европе. Изначально данное сообщество концентрировало свое внимание на авиакомпаниях и военно-промышленных компаниях, затем с 2013 года они переключились на промышленные предприятия в области энергетики. Так, сообщество Dragonfly действовало достаточно профессионально, поражая программное обеспечение, используемое в системах промышленного контроля, с помощью троянской программы. Информационная среда энергетических компаний поражалась при обновлении ПО (на диаграмме показаны зеленым цветом), что давало хакерам беспрепятственный доступ к сетям.
Эта хакерская группа также совершала другие кибератаки. Сначала, в качестве своей цели они выбирали определенных сотрудников компании, отсылая им фишинговые электронные письма (на диаграмме показаны синим), и в то же время заражали часто посещаемые сайты (на диаграмме показаны красным) с помощью вредоносного кода. Сообщество Dragonfly успешно использует вредоносные коды для экспорта системной информации, копирования документов, просмотра адресов в Outlook или данных конфигурации соединений VPN. В отчете компании Symantec о безопасности говорится, что затем такие данные зашифровываются и отсылаются на командный сервер хакеров.
Без сомнения, хакерам удалось не только получить всю информацию, они также смогли внедрить свой программный код в ПО системы управления, тем самым контролируя технические системы. Наихудшим сценарием могло бы быть существенное нарушение энергоснабжения в стране.
Из приведенного примера четко видно, что целенаправленная кибератака может длиться в течение нескольких месяцев, а иногда даже лет, и она может включать в себя широкий спектр различных каналов атаки.
Смогут ли компании сегодня обнаружить угрозы такого рода и оценить риск для своей деятельности только на основе обычного программного обеспечения безопасности?
Полагаясь на наш опыт, мы можем сказать, что ответом на данный вопрос будет «нет».
Исследование, проведенное Ассоциацией аудита и контроля информационных систем (ISACA), показывает, что 33 % компаний не уверены в том, что они должным образом защищены от кибератак или в состоянии адекватно реагировать на них. Защита от этих разносторонних угроз требует многоуровневого решения и интеллектуальной системы безопасности.
Какие меры следует предпринять для обеспечения достаточной защиты?
Пять способов защиты от кибератак
Шаг 1: Предотвращение
Компании должны снять свои шоры и подготовиться к настоящей чрезвычайной ситуации: подготовить стратегии и планы действия в чрезвычайных ситуациях, а также узнать свои уязвимые места.
Шаг 2: Введение защитных мер
Хорошо охраняемое рабочее место является наилучшим способом для защиты от кибератак.
Так, множество различных механизмов защиты должны гарантировать, что угрозы даже не смогут проникнуть в информационную сеть. С увеличением частоты нападений, эта концепция дополняется скоординированной настройкой безопасности, в которой множество решений объединяются и делятся контекстной информацией. Это может ускорить обнаружение и автоматизировать реагирование.
Шаг 3: Обнаружение
На сегодняшний день уже существует большое количество различных методов идентификации вредоносных программ. Необходимо воспользоваться современными знаниями, чтобы создать обоснованное решение о том, какая стратегия будет лучше всего подходить для развертывания.
Шаг 4: Реагирование
При поражении сети вредоносные программы необходимо удалить полностью без каких-либо остаточных следов. В этом случае нужно гарантировать безопасность рабочего места. Для предотвращения подобных случаев в будущем, крайне важно определить, когда и каким образом вредоносный код смог получить доступ к сети.
Шаг 5: Восстановление
После очистки системы следует использовать подходящее ПО резервного копирования для восстановления данных.
Самые частые проблемы, с которыми сталкиваются компании в области ИБ
Многие компании сталкиваются с такими же проблемами, какие показаны на диаграмме:
По данным института Ponemon: глобальное изучение затрат и инвестиций в области информационной безопасности в 2015 году.
На сегодняшний день существует много возможностей для обеспечения достаточной информационной безопасности ИТ-среды. Для этого компаниям достаточно найти подходящих экспертов в области информационной безопасности и воспользоваться подходящими именно для данной компании решениями.
Сценарий для взлома. Разбираем типовые сценарии атак на корпоративные сети
Пентестеры Positive Technologies ежегодно выполняют десятки тестирований на проникновение для крупнейших компаний в России и за рубежом. Эта статья — подборка типовых сценариев атак, которые использовались при пентестах компаний и позволяли получить контроль над сетью заказчика в 80% случаев.
INFO
Мы не будем раскрывать адреса ресурсов и имена сотрудников протестированных организаций. Однако описанные сценарии атак не привязаны к сфере деятельности: подобные недостатки защиты могут встретиться в любой отрасли и нанести значительный ущерб.
Преодоление периметра
Чтобы преодолеть внешний периметр, нарушитель должен получить доступ к узлу, подключенному также к внутренней сети, и иметь возможность выполнять на нем произвольный код. Уязвимости, которые чаще всего приводят к этому, можно поделить на шесть основных типов:
- недостатки управления учетными записями и паролями;
- уязвимости веб-приложений;
- недостатки фильтрации трафика;
- недостатки управления уязвимостями и обновлениями;
- плохая осведомленность пользователей в вопросах информационной безопасности;
- недостатки конфигурации и разграничения доступа.
В отдельных пентестах каждый из этих пунктов позволял достичь цели без других атак.
Иногда для преодоления периметра мы комбинировали перечисленные методы, но это лишь повышало сложность атаки, а не предотвращало проникновение.
Можно без 0day
Результаты расследований инцидентов в 2016 году говорят о том, что преступники стали реже использовать сложные атаки с эксплуатацией ранее неизвестных уязвимостей (0day). Вместо этого они чаще пользуются более простыми методами, для которых не требуются большие финансовые затраты. Причина этого кроется отчасти в том, что многие компании не имеют эффективной системы патч-менеджмента. При этом обновление большой инфраструктуры зачастую требует значительных финансовых и человеческих ресурсов. Именно поэтому в нашем материале встречаются упоминания довольно старых уязвимостей, которые, как ни удивительно, успешно эксплуатируются и по сей день.
Сценарий 1. Подбор учетных данных
Интерфейсы управления и удаленного доступа
Протоколы удаленного доступа упрощают работу системного администратора и дают ему возможность управлять устройствами удаленно.
Среди распространенных инструментов — Telnet, RSH, SSH и протоколы для удаленного подключения вроде RDP. Чаще всего администраторы используют для этого общедоступное ПО: Radmin, Ammyy Admin и подобные. Это позволяет внешнему нарушителю проводить атаки на подбор учетных данных.
Такая атака не требует никаких особенных знаний и навыков: в большинстве случаев достаточно ноутбука, программы для подбора учетных данных (например, Hydra) и словаря, которые можно без труда найти в интернете.
Атаку может затруднить фильтрация по IP-адресам. В таком случае нарушитель, скорее всего, найдет другие пути. Например, скомпрометирует иные узлы в сети и попробует развить атаку не со своего адреса, а со скомпрометированных узлов. Существуют и другие методы обхода фильтрации.
Нередко в качестве пароля от SSH и Telnet можно встретить комбинацию root:root, root:toor, admin:admin, test:test. В некоторых случаях доступ с максимальными привилегиями удается получить вообще без ввода пароля.
Для доступа по RDP используются локальные либо доменные учетные записи. Часто это Administrator:P@ssw0rd, Administrator:123456, Administrator:Qwerty123, а также гостевая учетная запись Guest с пустым паролем.
Рекомендации по защите. Для SSH следует использовать авторизацию по приватному ключу. В целом же мы рекомендуем настроить файрвол таким образом, чтобы ограничивать доступ к узлам по протоколам удаленного управления: разрешать подключения только из внутренней сети и только ограниченному числу администраторов. Кроме того, нужно внедрить строгую парольную политику, чтобы исключить саму возможность установить простые или словарные пароли. Если же необходимо администрировать ресурсы удаленно, советуем использовать VPN.
Интерфейсы администрирования веб-серверов и СУБД
Существуют и другие службы, доступ к которым позволит внешнему нарушителю получить полный контроль над узлом. В их числе базы данных и веб-серверы.
Если в случае с SSH и Telnet изначально требуется вручную задавать пароль, то СУБД и веб-серверы обычно идут с паролем по умолчанию. Как показывает практика, далеко не все администраторы меняют эти пароли, а многие изменяют учетные данные на столь же простые комбинации.
Примеры наиболее распространенных учетных данных, которые выявляются в наших тестах на проникновение:
- СУБД —
sa:sa,sa:P@ssw0rd,oracle:oracle,postgres:postgres,mysql:mysql,mysql:root, различные комбинации с пустым паролем; - для серверов Tomcat —
tomcat:tomcat,tomcat:admin.
Через админку Tomcat Web Application Manager можно загружать файлы в формате архива с расширением war. Атакующий может загрузить не только веб-приложение, но и веб-интерпретатор командной строки и получить возможность выполнять команды ОС.
Доступ к базе данных тоже открывает широкие возможности — в том числе позволяет выполнять на сервере команды с привилегиями СУБД.
Этого может оказаться достаточно для атаки на другие узлы сети.
К примеру, в старых версиях MS SQL Server продукт устанавливался в ОС по умолчанию с привилегиями NT AUTHORITY\SYSTEM, максимальными в Windows. Нарушитель, подобравший учетную запись СУБД, моментально получал полный контроль над сервером.
В актуальных версиях MS SQL Server этот недостаток учтен, привилегии СУБД по умолчанию ограниченны — NT SERVICE\MSSQLSERVER. Однако даже эти меры зачастую не обеспечивают должный уровень защиты.
Другой вариант развития атаки — эксплуатация уязвимостей в ОС. В одном из пентестов мы выяснили, что пользователь NT SERVICE\MSSQLSERVER обладает привилегиями SeImpersonatePrivilege, которые позволяют ему с помощью токена делегирования (impersonation-token) присвоить себе привилегии любого другого пользователя из перечня доступных (например, при помощи утилиты Mimikatz).
Рекомендации по защите. Администраторы должны тщательно следить за тем, какой уровень привилегий используют те или иные системы и пользователи, и по возможности назначать минимальные права.
Рекомендуем ввести строгую парольную политику и ограничивать доступ к СУБД и интерфейсам администрирования веб-серверов из интернета, разрешив подключение только из локальной сети с ограниченного числа компьютеров.
Если удаленный доступ к администрированию веб-сервера необходим, рекомендуем ограничить список IP-адресов, с которых возможно подключение, и оставить доступ только с администраторских компьютеров.
Сценарий 2. Эксплуатация веб-уязвимостей
Чтобы получить возможность выполнять команды ОС, далеко не всегда требуется подбор учетных данных для доступа к интерфейсам управления. Зачастую такую возможность дают уязвимости веб-приложений, развернутых внутри сети компании. Если веб-приложение используется как публичный ресурс (официальный сайт, интернет-магазин, новостной портал), значит, к нему обеспечен доступ из интернета. Это открывает немало возможностей для атак.
Среди наиболее опасных уязвимостей веб-приложений можно выделить загрузку произвольных файлов, внедрение операторов SQL и выполнение произвольного кода.
Эксплуатация таких уязвимостей может привести к полной компрометации сервера.
Вот пример наиболее простой для реализации атаки из тех, что мы моделировали при пентестах. В большинстве публичных веб-приложений существует возможность регистрации новых пользователей, а в их личном кабинете, как правило, есть функция загрузки контента (фото, видео, документов, презентаций и прочего). Обычно приложение проверяет, какой именно файл загружает пользователь, по списку запрещенных расширений. Но нередко эта проверка неэффективна. В таком случае злоумышленник может загрузить на сервер веб-интерпретатор командной строки, изменив расширение файла. В итоге нарушитель получит возможность выполнять команды ОС с привилегиями веб-приложения, а если эти привилегии были избыточны — то и полный контроль над ресурсом.
Даже если на сервере настроена эффективная проверка загружаемых файлов, необходимо учитывать и конфигурацию самой системы. Следующий пример демонстрирует, как ошибка администратора может позволить нарушителю скомпрометировать ресурс.
В исследованном приложении была реализована проверка, которая запрещала загрузку файлов с расширением PHP. Мы выяснили, что на сервере используется уязвимая комбинация ПО и ОС, которая позволяет обойти данное ограничение. В частности, в конфигурации CMS Bitrix в файле /upload/.htaccess не было установлено ограничение на загрузку файлов с расширением pht. Этот формат файла исполняется в ОС семейства Debian и Ubuntu как файл формата PHP. Таким образом, уязвимая конфигурация сервера позволила загрузить веб-интерпретатор командной строки на сервер в обход установленных ограничений.
Другой распространенный вид атаки на веб-приложения — с помощью SQL-запроса. Это несложная техника, но назвать ее тривиальной уже нельзя. На скриншоте показан пример выполнения команды ID через внедрение операторов SQL в комбинации с эксплуатацией уязвимости подключения локальных файлов.
Для эксплуатации таких уязвимостей злоумышленник должен знать, как обходить фильтрацию файлов при загрузке их на сервер, и уметь писать SQL-запросы.
Но такие знания могут и не потребоваться в том случае, если ограничения на загрузку файлов отсутствуют вовсе.
Рекомендации по защите. Помимо строгой парольной политики, рекомендуем ввести белые списки для проверки загружаемых на сервер файлов. Для защиты от эксплуатации уязвимостей кода приложения (внедрение операторов SQL, выполнение команд) необходимо реализовать фильтрацию передаваемых пользователем данных на уровне кода приложения. Кроме того, рекомендуем использовать межсетевой экран уровня приложения (web application firewall).
Сценарий 3. Эксплуатация известных уязвимостей
Атаки на уязвимый протокол
Еще один пример использования недостатков фильтрации трафика — это атака на протокол отладки Java Debug Wire Protocol (JDWP), один из компонентов системы Java Platform Debug Architecture (JPDA). Этот протокол не обеспечивает аутентификацию и шифрование трафика, чем могут воспользоваться внешние нарушители, если интерфейс JDWP доступен из интернета.
Злоумышленник может взять общедоступный эксплоит для выполнения команд ОС. Кроме того, служба, использующая JDWP, зачастую обладает максимальными привилегиями, что позволяет внешнему нарушителю за один шаг получить полный контроль над сервером. Ниже показан пример успешной атаки с использованием общедоступного эксплоита.
Моделируя атаку на сервер, мы загрузили файл exec.pl с backconnect-скриптом. Далее мы поменяли привилегии на исполнение этого файла. В результате запуска скрипта был получен интерактивный шелл, который позволял выполнять команды ОС для развития атаки.
Рекомендации по защите. Этот пример показывает, как можно преодолеть периметр даже при использовании сложных паролей и регулярном обновлении ПО. Отладочные интерфейсы не должны быть доступны из внешних сетей.
Атаки на уязвимое ПО
По нашей статистике, использование устаревших версий ПО — один из наиболее распространенных недостатков безопасности. Как правило, в рамках пентестов эксплуатация уязвимостей ПО, позволяющих удаленно выполнять код, не производится, так как подобные атаки (например, направленные на переполнение буфера) могут вызвать отказ в обслуживании систем.
Для нарушителя это условие не только не будет помехой, но может оказаться его основной целью. Вот лишь некоторые распространенные примеры устаревших версий различных систем и их уязвимостей:
Часто эксплуатация таких уязвимостей требует от атакующего особых знаний и навыков, например для разработки собственного эксплоита. В то же время существуют и общедоступные, а также коммерческие эксплоиты, которые могут быть использованы «из коробки» или с минимальными изменениями для адаптации к конкретным условиям.
В ряде проектов мы продемонстрировали эксплуатацию критически опасной уязвимости Heartbleed (CVE-2014-0160). Если сервис поддерживает SSL-соединения или если на узле используется *nix-образная ОС, уязвимая версия библиотеки OpenSSL позволит читать участки памяти серверного процесса (в данном примере — веб-сервера). В таких участках памяти могут в открытом виде находиться критически важные данные: учетные данные пользователей, пользовательские сессии, ключи доступа и прочее.
В результате проведения атаки и анализа участков памяти был, в частности, получен пароль пользователя.
Рекомендации по защите. Для предотвращения подобных атак рекомендуем своевременно обновлять ПО и устанавливать обновления безопасности для ОС. Кроме того, желательно не раскрывать версии применяемых систем — в частности, версию веб-сервера, которая может указываться в стандартных сообщениях об ошибках или в ответе HTTP.
Сценарий 4. Социальная инженерия
Социальная инженерия — один из наиболее распространенных методов целевых атак. Он сводится к эксплуатации недостатка у сотрудников опыта в вопросах безопасности. Нарушитель может выведать данные для доступа к ресурсам в телефонном разговоре или личной переписке.
Приведем пример социальной инженерии в телефонном разговоре с одним из работников банка (осведомленность персонала которого нам надо было оценить). Сотрудника выбрали для разговора по результатам первичной рассылки фишинговых писем.
Это был один из тех получателей, кто не просто перешел по ссылке из письма, а еще и вступил в переписку с экспертом Positive Technologies, приняв его за администратора своей корпоративной сети.
Наш эксперт представился администратором и предложил решить проблему неработающей ссылки в почтовой рассылке. Телефонный разговор длился около четырех минут, и этого времени оказалось достаточно, чтобы добиться поставленной цели — узнать учетные данные для доступа к рабочей станции сотрудника и ресурсам домена.
Наш собеседник с легкостью выдал не только информацию об используемом ПО, но и свой пароль и к тому же попросил не изменять его, так как он «удобный» (то есть простой). Потенциальный нарушитель не просто мог получить доступ к рабочей станции и ресурсам домена от имени этого пользователя — он мог быть уверен в том, что сотрудник не сменит свой пароль в течение долгого времени.
Естественно, не все люди так доверчивы, и при таком подходе велик риск, что сотрудник заподозрит неправомерные действия и обратится в службу безопасности.
Поэтому злоумышленники часто привлекают более сложные социотехнические методы, которые требуют специальной подготовки.
Например, для использования фишинговых сценариев злоумышленник должен зарегистрировать собственный домен и разработать ложную форму логина. Ему необходимо сделать фишинговый ресурс максимально приближенным по дизайну страницы к настоящему ресурсу, который привык видеть сотрудник. Атакующий также разрабатывает сценарии для определения версий ПО, используемого сотрудником, и последующей эксплуатации уязвимостей этого ПО.
Если нарушитель ставит целью заразить рабочую станцию трояном, ему необходимо узнать, какие системы защиты используются в компании, а для этого требуется дополнительная разведка. Все это существенно усложняет атаку. Однако, как показывает опыт наших пентестов и расследований реальных инцидентов, социотехнические атаки можно успешно провести в большинстве современных организаций. Именно такие атаки в последние годы стали первым шагом киберпреступников к проникновению в корпоративные сети банков, государственных и промышленных организаций.
Ниже приведен пример фишингового письма, которое специалисты Positive Technologies рассылали во время нескольких пентестов в 2016 году. В этом письме используется домен, который по написанию схож с реально существующим. Внимательный сотрудник может легко обнаружить подозрительный адрес отправителя. Однако, как показывает практика, далеко не все сотрудники замечают подмену. Кроме того, нарушитель может изменить адрес отправителя на реально существующий адрес одного из сотрудников, чтобы не вызвать подозрений. Загрузка приложенного файла и попытка распаковать архив в рамках пентеста приводили лишь к отправке информации о пользователе и его ПО на адрес, указанный в фишинговом письме. Однако в случае реальной атаки компьютер жертвы мог быть сразу заражен вредоносным ПО.
Во время одного из расследований инцидентов мы выявили похожий случай — проникновение в сеть банка с помощью вредоносного ПО. Вредонос был разослан по электронной почте в архиве, при этом рассылка фишинговых писем велась с адресов сотрудников партнерского банка, с которыми жертвы уже переписывались.
Адреса были подделаны злоумышленниками, которые предварительно провели разведку и изучили специфику почтовой переписки сотрудников. Вероятно, атакам подвергся и партнерский банк.
Рекомендации по защите. Сотрудники сами могут выявить некоторую часть атак, проводимых методами социальной инженерии. Здесь важна бдительность: нужно всегда проверять адрес отправителя, не переходить по сомнительным ссылкам и не запускать приложенные к письму файлы, если нет уверенности в безопасности их содержимого. Кроме того, ни при каких обстоятельствах нельзя сообщать никому свои учетные данные, в том числе администраторам и сотрудникам службы безопасности.
Существуют более сложные в выявлении методы атак. Письма, к примеру, могут приходить от доверенного лица. Для защиты рекомендуем использовать антивирусные решения, способные проверять файлы, получаемые по электронной почте, до того, как их откроют сотрудники. Некоторые антивирусы позволяют помещать сомнительные файлы в песочницу и исследовать содержимое в безопасной среде.
Также рекомендуем регулярно проводить тренинги для сотрудников и повышать их осведомленность о возможных угрозах, а затем оценивать эффективность при помощи тестов — как внутренних, так и с участием внешних специалистов.
Сценарий 5. Открытые данные
Этот метод сам по себе не является атакой, однако эксперты Positive Technologies нередко используют его для успешного преодоления периметра как минимум в качестве первого шага при реализации других атак.
Исследование страниц веб-приложений зачастую позволяет выявить множество ценной информации, доступной в открытом виде: учетные записи пользователей, версии ПО и серверов, адреса критически важных систем, конфигурационные файлы оборудования и в особых случаях даже исходные коды веб-приложений. Любой внешний нарушитель может получить доступ к ресурсам с возможностью загрузки произвольных файлов без каких-либо атак на систему, если выявит учетную запись, например для доступа к ресурсу по протоколу SSH, для подключения к СУБД или к интерфейсу администрирования веб-приложения.
В открытом доступе может найтись и доменная учетная запись. В рамках одного из пентестов это позволило нам получить доступ к беспроводной сети, из которой был возможен доступ к контроллерам доменов в ЛВС. В другом проекте такая учетная запись открыла путь к множеству корпоративных ресурсов компании, доступных из интернета, в частности к системе Jira (развитие данного вектора атаки описано в сценарии 6).
Следующий пример показывает, как злоумышленник может использовать исходный код приложения. В этом примере в открытом доступе на периметре сети были обнаружены файлы директории .svn. Для получения исходного кода внешний нарушитель мог использовать программы dvcs-ripper и Subversion.
Если внешнее тестирование на проникновение подразумевает моделирование действий злоумышленника, который проводит атаки без каких-либо дополнительных знаний об атакуемой системе (методом черного ящика), то, получив исходный код веб-приложения, нарушитель сможет провести анализ методом белого ящика, то есть обладая полным набором сведений о приложении.
Для анализа кода используются как ручные средства, так и широкодоступные автоматизированные решения. Все это позволяет выявить максимально возможное число уязвимостей и подготовить эксплоиты для атаки.
При анализе полученных файлов мы установили, что в одном из них в открытом виде хранится учетная запись администратора веб-приложения. Кроме того, нашлись уязвимости, позволяющие читать файлы и загружать их на сервер — а это дает возможность получить полный контроль над ресурсом, как было продемонстрировано в описании предыдущих сценариев.
Рекомендации по защите. Администраторы систем должны следить за тем, какие данные раскрываются на страницах веб-ресурсов, и обеспечивать эффективное разграничение доступа к файлам и директориям на серверах, доступных из внешних сетей.
Сценарий 6. Выход из песочницы
На сетевом периметре организации, как правило, есть публичные сервисы — веб-приложения, доступные по протоколам HTTP и HTTPS. Однако некоторые компании размещают на периметре и корпоративные ресурсы, почтовые сервисы (OWA), порталы и другие системы.
Рассмотрим сценарий атаки, которая начиналась с получения доменной учетной записи в открытом виде с общедоступной страницы веб-приложения. В результате это привело к тому, что мы смогли подключиться к большому числу корпоративных ресурсов на периметре сети (см. сценарий 5).
Среди таких ресурсов была система Jira, при подключении к которой внешний нарушитель может получить список всех пользователей домена. В рамках пентеста мы выгрузили этот список и подобрали пароль к учетной записи одного из доменных пользователей. Он состоял из слова P@ssw0rd — одного из самых популярных в корпоративных сетях. Теоретически эта учетная запись могла быть подобрана напрямую — например, если взять этот пароль и перебирать имена пользователей, пока не будет выполнен вход. Именно такой метод используется при пентесте для подбора доменных учетных записей во избежание блокировки. Он не входит в описываемый сценарий атаки, но еще раз показывает, насколько важно уделять внимание парольной политике и безопасному хранению учетных данных.
Подобранную учетную запись мы применяли для подключения к еще одному из корпоративных ресурсов компании, доступных на сетевом периметре, — системе Citrix.
Компании широко используют Citrix для виртуализации и удаленного доступа к приложениям, рабочим столам компьютеров и серверов с любого устройства. Обладая доступом к такой системе, пользователь не должен получать возможность выйти из виртуализации и выполнять команды ОС непосредственно на сервере, где установлен Citrix. Однако существуют методы обхода песочницы, которыми часто пользуются нарушители.
Запустив в Citrix браузер Internet Explorer, нарушитель может использовать встроенную функцию — открытие файла. Если на сервере не настроено строгое разграничение доступа к файлам и директориям, эта функция браузера открывает доступ к файловой системе, в том числе к директории установки ОС. Остается запустить файл cmd.exe для выполнения произвольных команд. Аналогичный вектор атаки можно реализовать и с помощью другого ПО, в котором есть функция открытия файла.
Рекомендации по защите. Мы показали пример эксплуатации уязвимости, связанной с недостаточно эффективным разграничением доступа к функциям и файлам ОС. Используя прикладные программы, нарушитель может получить доступ к любым файлам на сервере. Это серьезная ошибка администрирования ресурса.
Для предотвращения таких атак следует пересмотреть вопрос о размещении корпоративных ресурсов на периметре сети. Если же без этого не обойтись, то нужно ввести строгую парольную политику, а также жесткое разграничение доступа к директориям и файлам ОС. Тогда пользователи таких систем, как Citrix, не смогут получить доступ к файловой системе сервера. У них не должно быть прав на исполнение файлов и доступа к директории установки ОС. Разграничивая доступ, следует придерживаться принципа минимальных привилегий. Кроме того, для запуска ПО в системе Citrix рекомендуется использовать защищенный протокол TLS с проверкой наличия корневого сертификата у клиента.
Получение контроля над КИС
Атаки на ресурсы внутренних сетей обычно проводятся от лица двух типов нарушителей — внутреннего, обладающего доступом к сетевой розетке на территории организации, либо внешнего, успешно преодолевшего сетевой периметр.
Модель внутреннего нарушителя может меняться в зависимости от того, из какого сегмента сети развивается вектор атаки, а также в зависимости от уровня начальных привилегий атакующего.
Если для атак из интернета не требуется проходить дополнительную аутентификацию в сети (так как нарушитель уже получил определенный уровень привилегий на скомпрометированном сервере, находящемся в определенном сетевом сегменте), то внутреннему нарушителю необходимо каким-то образом получить логический доступ к локальной сети, а также привилегии на одном из внутренних ресурсов — если, конечно, нарушитель не сотрудник организации, который уже обладает такими привилегиями.
Сложность развития атак со стороны внутреннего нарушителя во многом определяется конфигурацией сети и сетевого оборудования. В первую очередь — сегментацией, фильтрацией сетевых протоколов, а также настройками защиты сети от подключения сторонних устройств. К сожалению, далеко не все организации обеспечивают надежный уровень защиты на уровне сети.
Как правило, корпоративные системы строятся на базе доменов Active Directory. Они удобны и позволяют централизованно управлять даже крупными распределенными сетевыми инфраструктурами. Однако ошибки администраторов и рядовых пользователей могут сделать AD уязвимой. Практика показывает, что слабые места чаще всего — это слабые пароли и недостаточная защита привилегированных учетных записей домена.
Самый простой и самый распространенный сценарий атаки на сеть на основе Active Directory — это комбинация двух несложных действий внутреннего нарушителя: получение привилегий локального администратора на узле сети и запуск утилит для взлома на скомпрометированном ресурсе с целью получения учетных записей пользователей.
Атакующий может использовать учетную запись локального администратора для получения паролей в открытом виде. Это возможно из-за слабости реализации single sign-on (SSO) во всех системах Windows, где есть поддержка этого механизма. Уязвимость существует из-за того, что подсистемы Windows wdigest, kerberos и tspkg хранят пароли пользователей с помощью обратимого кодирования в памяти операционной системы.
Для проведения таких атак существует специальный инструментарий, который можно найти в свободном доступе (например, утилиты Mimikatz или WCE).
Повторяя эти шаги последовательно на ряде узлов ЛВС, нарушитель может добраться до того ресурса, на котором активна учетная запись администратора домена, и получить ее в открытом виде.
Два описанных дальше сценария различаются лишь методом получения привилегий локального администратора на первом шаге. Всего же мы рассмотрим семь наиболее распространенных вариантов атак. Восьмым сценарием можно считать эксплуатацию известных уязвимостей программ и ОС, но такие случаи менее интересны с точки зрения техники эксплуатации уязвимости (например, использование общедоступного эксплоита, как показано на рисунке ниже). Их мы в этой статье затрагивать не будем.
Сценарий 1. Подбор доменной учетной записи
В большинстве корпоративных сетей настроены парольные политики для учетных записей в домене, но далеко не всегда они эффективны.
Зачастую ограничения позволяют задавать словарные комбинации. Например, уже упомянутый пароль P@ssw0rd формально обладает достаточной длиной и сложностью, чтобы удовлетворять условиям политики, но он есть в большинстве словарей популярных паролей и наверняка будет проверен нарушителем одним из первых. Словари позволяют подобрать и более сложные комбинации.
Часто администраторы задают и ограничения на количество попыток ввода неверного пароля, с последующей блокировкой учетной записи. Однако нарушитель может запустить подбор одного (или двух) паролей для целого списка логинов — если у него есть информация о них. Получить такие данные несложно: внутреннему нарушителю (сотруднику организации) достаточно сделать запрос к контроллеру домена либо проанализировать адресную книгу почтового клиента; внешний же нарушитель может изучить открытые источники в интернете (публикации компании, презентации, контактные данные с официального сайта) либо использовать недостатки защиты данных, хранящихся на внешних ресурсах организации.
Кроме того, изучив принцип создания логинов, нарушитель может составить словарь для подбора. Чаще всего принцип прост: первая буква имени и фамилия сотрудника (например, DOMAIN\AIvanov), инициалы и фамилия (DOMAIN\APIvanov) и прочие вариации на основе ФИО.
Часто у таких учетных записей есть права локального администратора на одном из компьютеров или на сервере. Это позволяет нарушителю подключиться удаленно (например, по RDP) и запустить софт для взлома.
Основной преградой для нарушителя в таких случаях становится антивирус, но часто он настроен недостаточно эффективно, чтобы противостоять атакам. В нашей практике такое встречалось чуть ли не в каждом проекте: либо антивирус вовсе не запрещает запускать утилиты для взлома, либо привилегии локального администратора позволяют отключить антивирус или добавить хакерский инструментарий в список исключений.
Даже если антивирус заблокирует утилиту и злоумышленник не сможет снять эту блокировку, остаются другие варианты для проведения атаки.
Для обхода защиты нарушителю достаточно запустить утилиту с любого общедоступного ресурса в сети либо сделать дамп памяти процесса lsass.exe (например, утилитой procdump) и запустить Mimikatz уже на своем компьютере. Кроме того, есть версия этой утилиты на PowerShell, которая не определяется антивирусными системами как опасное ПО.
Проведя такую атаку, нарушитель получает учетные данные всех пользователей, которые аутентифицировались в ОС. Среди них могут быть как локальные администраторы других компьютеров, так и привилегированные учетные записи домена. Этот вектор атаки применяется для получения полного контроля над доменом.
Рекомендации по защите. Почти в каждом из пентестов нам удавалось успешно завершить этот сценарий. Минимизировать риск можно при помощи строгой парольной политики для всех пользователей домена, а также ограничив привилегии локальных пользователей на рабочих компьютерах и серверах, входящих в домен. Для привилегированных учетных записей рекомендуем использовать двухфакторную аутентификацию.
При этом важно понимать, что двухфакторная аутентификация тоже подвержена атакам (см. сценарий 5).
Сценарий 2. Атаки на протоколы сетевого и канального уровней
Если подобрать учетные данные не удалось или если нарушитель не смог получить список идентификаторов пользователей домена, его следующий шаг — попробовать проанализировать протоколы, используемые в сети. В частности, он может проводить атаки методом «человек посередине» с целью перехвата трафика (например, если удастся реализовать атаку ARP Poisoning) либо атаки на протоколы NBNS и LLMNR с целью перехвата идентификаторов и хешей паролей пользователей.
При пентестах атаки на ARP проводятся только по согласованию с заказчиком, который, как правило, против такой демонстрации — слишком велика вероятность нарушить работу сети. К тому же атака ARP Poisoning хорошо известна, поэтому рассмотрим атаки на другие протоколы.
В результате атак типа «человек посередине» могут быть перехвачены значения Challenge-Response для пользователей домена. По этим значениям можно подобрать пароль пользователя, причем уже без доступа к системе.
Протоколы NetBIOS Name Service (NBNS) и Link Local Multicast Name Resolution (LLMNR) используются для получения IP-адреса узла в том случае, если такая запись отсутствует на DNS-серверах, или когда эти серверы по тем или иным причинам недоступны. Если защита этих протоколов отсутствует, то становятся возможными атаки LLMNR Spoofing и NBNS Spoofing.
Нарушитель, находящийся в одном сегменте сети с атакуемым узлом, может прослушать широковещательный трафик NBNS и LLMNR и подменить адрес узла, на котором атакуемый узел пытается авторизоваться. В случае успешной атаки злоумышленник сможет прослушивать и модифицировать трафик в сетевом сегменте, а также получать аутентификационные данные пользователей и с их помощью авторизоваться на других узлах сети.
Получив идентификаторы и хеши паролей пользователей, злоумышленник способен подобрать пароли по значениям хешей.
Кроме того, нарушитель сможет задействовать логины пользователей для развития атаки по сценарию 1.
Завершающий этап атаки (в случае успешного подбора учетных данных) аналогичен сценарию 1 — подключение к узлам, на которых полученная учетная запись обладает привилегиями локального администратора, и последующий запуск специализированных утилит для взлома.
Рекомендации по защите. Если в перечисленных протоколах нет необходимости, то их следует отключить. Если же они нужны, то применять превентивные меры защиты — например, объединять системы, использующие один из этих протоколов, в отдельные сегменты сети. Методы защиты от атак ARP Poisoning хорошо известны: использовать статические ARP-записи на шлюзах, функции систем обнаружения атак (например, препроцессора arpspoof системы Snort) или утилиты, такие как arpwatch, а также использовать функции Dynamic ARP Inspection коммутаторов Cisco и другие.
Сценарий 3. Атака SMB Relay
Если в сети используются протоколы NBNS и LLMNR, это открывает возможность не только для атак с целью перехвата хешей паролей пользователей, но и для хорошо известной атаки SMB Relay.
Этот метод позволяет нарушителю перехватить аутентификационные данные, передаваемые от одного узла к другому, в процессе обмена информацией NTLM Challenge-Response.
Принцип атаки прост: нарушитель слушает сетевой трафик и ждет, когда один из узлов инициирует подключение к другому узлу. Как только такой запрос обнаружен, нарушитель реализует атаку «человек посередине» (например, LLMNR Spoofing): перехватывает запрос на аутентификацию от обратившегося узла и передает его на атакуемый сервер. Этот сервер возвращает ответ — просьбу зашифровать некоторое сообщение с помощью своего хеша, после чего перенаправляет его на узел, запросивший подключение. Следом происходит перенаправление этого зашифрованного сообщения. Так как сообщение было зашифровано корректным хешем, атакуемый сервер отправит нарушителю разрешение на аутентификацию. Злоумышленник аутентифицируется на сервере, а узлу, запросившему аутентификацию, отправит ответ об ошибке подключения. Нарушитель может реализовать такую атаку и в отношении того же ресурса, который отправляет запрос на подключение.
Эта атака известна давно, и компания Microsoft еще в 2008 году выпустила бюллетень безопасности MS08-068 и соответствующий патч для Windows. На системе с патчем нарушитель не сможет провести атаку на тот же компьютер, если он инициирует подключение. Но возможность атаковать с помощью SMB Relay другие узлы в домене останется, если на них не реализована подпись SMB-пакетов — SMB Signing.
Простоту реализации атаки покажем на примере одного из наших пентестов. Анализируя трафик сети, мы выявили, что один из компьютеров периодически запрашивает адрес другого узла, после чего шлет на него HTTP-запрос с доменной учетной записью. С помощью утилиты Responder мы успешно атаковали выбранный нами узел сети, отправив запрос на подключение с того узла, который изначально инициировал запрос.
На атакованном сервере возможно выполнение команд с привилегиями того пользователя, чьи аутентификационные данные были перехвачены в рамках SMB Relay (в нашем случае привилегии оказались максимальными). В результате был получен полный контроль над сервером.
Вероятность реализации подобной атаки высока. В крупных сетевых инфраструктурах часто используются автоматические системы для инвентаризации ресурсов, установки обновлений, резервного копирования и других задач. Такие системы ежедневно подключаются к ресурсам домена и могут использоваться нарушителями для атак.
Рекомендации по защите. Для защиты от атаки необходимо реализовать подписывание SMB-пакетов (SMB Signing) на всех узлах сети, а также отключить протоколы NBNS и LLMNR. Кроме того, необходимо регулярно устанавливать актуальные обновления безопасности ОС.
Сценарий 4. Чтение памяти процесса
Для развития атаки в локальной сети нарушитель может использовать привилегии, полученные на первых шагах атаки (например, по сценариям 1, 2 или 3), либо у него уже могут иметься повышенные привилегии, если речь идет о недобросовестном сотруднике компании. К примеру, нарушитель, обладающий привилегиями локального администратора на узле, может сохранить дамп памяти процессов ОС. В общем случае достаточно привилегий того пользователя, от имени которого были запущены процессы.
В сценарии 1 приведен пример того, как может быть использован дамп процесса LSASS, а здесь мы рассмотрим другое применение этой атаки.
Для безопасного хранения паролей многие администраторы используют специализированные утилиты. В данном случае мы провели атаку, которая позволила получить ключ доступа к файлам программы PINs. В них хранились пароли от множества критически важных систем атакуемой организации. На рисунках ниже показано, как с помощью общедоступной утилиты procdump был получен дамп памяти процесса PINs.exe, а в самом дампе найден пароль a************1.
В результате атаки нарушитель получает список паролей и может использовать их для подключения к критически важным системам.
Рекомендации по защите. Для реализации атаки нарушителю необходим определенный уровень привилегий. Если процесс запущен от имени локального администратора, то защититься поможет ограничение привилегий пользователя ОС. Однако нарушитель сможет читать память тех процессов, которые запущены от имени такого пользователя (как показано в рассмотренном примере). Поэтому для защиты необходимо в первую очередь предотвратить несанкционированный доступ к ОС, для чего обязательна строгая парольная политика, регулярное обновление ПО и защита от подбора учетных записей.
Сценарий 5. Групповые политики
Этот сценарий атаки постепенно теряет популярность, однако по-прежнему встречается. В его основе — ситуация, когда администраторы используют файлы групповых политик для смены паролей от учетных записей локальных администраторов.
Зачастую привилегированные пользователи домена, создавая такие политики на контроллере домена (в директории sysvol), вносят учетные данные в файл групповой политики (что небезопасно). Пароль кодируется ключом AES, однако ключ шифрования общедоступен и опубликован на сайте msdn.microsoft.com. Таким образом, нарушитель, обладающий привилегиями пользователя домена, может получить учетные данные локальных администраторов на множестве узлов сети.
Вот как происходит расшифровка пароля.
dDPhfo*******************************ICtL64— зашифрованный пароль. Справа к нему добавляются знаки равенства таким образом, чтобы длина полученной строки была кратна четырем.- Эта строка декодируется из Base64-представления.
- Полученная строка расшифровывается по алгоритму AES с помощью ключа, доступного на сайте Microsoft.
- Восстановлен пароль
c******m.
Для развития атаки по этому сценарию у атакующего должен быть доступ к файлам групповых политик. Такие привилегии могут быть у пользователей домена, либо их можно получить по сценариям атак 1 и 2.
Рекомендации по защите. Такой механизм изменения паролей локальных администраторов широко применяется в корпоративных сетях, так как администратору не приходится подключаться к каждому из узлов, где необходима смена пароля. Рекомендовать в данном случае можно либо полный отказ от этого подхода, либо создание подобных политик только на ограниченное время, в которое совершается смена паролей, и удаление политик сразу же после выполнения операции. При этом необходимо принимать во внимание риски компрометации узлов сети.
Сценарий 6. Золотой билет Kerberos
Мы решили выделить эту атаку в отдельный сценарий из-за ее чрезвычайной опасности, хотя она требует первоначального получения соответствующего уровня привилегий. Атака основана на генерации билета доступа Kerberos пользователя на основе NTLM-хеша служебной учетной записи krbtgt и возможна из-за особенностей архитектуры протокола Kerberos и операционных систем Windows.
Протокол Kerberos базируется на ticket-системе, то есть на предоставлении билетов доступа к ресурсам доменной инфраструктуры. Нарушитель способен создавать golden ticket на получение доступа любого уровня привилегий и, соответственно, может обращаться к ресурсам домена с максимальными привилегиями.
Атака реализуема, только если у атакующего есть NTLM-хеш пароля krbtgt, получить который можно при наличии у атакующего актуальной резервной копии Active Directory либо привилегий в домене, которые позволяют сделать такую копию (например, администратора домена). В случае успешной атаки будет крайне сложно обнаружить дальнейшие действия злоумышленника, использующего аутентификацию по Kerberos, а смена паролей учетных записей, для которых были сгенерированы билеты доступа, не позволяет защититься.
Рекомендации по защите. В случае успешной компрометации системы развитие атаки можно предотвратить, только сменив пароль пользователя krbtgt, что сопряжено с перезапуском служб, использующих доменную аутентификацию. При этом стоит учитывать, что сама по себе смена пароля krbtgt не исключает возможности повторного получения атакующим NTLM-хеша пароля krbtgt, если у него сохранились первоначальные привилегии.
Во избежание подобных атак рекомендуем обеспечить защиту привилегированных учетных записей (в частности, тех, что позволяют проводить резервное копирование Active Directory), в том числе при помощи средств двухфакторной аутентификации, а также обеспечить защиту резервных копий службы каталогов. Кроме того, важно защитить рабочие станции и серверы от атак с использованием утилит для получения учетных данных в открытом виде, в частности Mimikatz.
Сценарий 7. Pass the hash и pass the ticket. Атака на двухфакторную аутентификацию
В примере выше мы советовали использовать двухфакторную аутентификацию для защиты привилегированных учетных записей критически важных систем — например, контроллеров домена. Однако это не означает, что двухфакторная аутентификация сама по себе полностью защищает от атак. Скорее, это один из необходимых шагов при построении комплексной защиты корпоративной сети. Следующий сценарий демонстрирует уязвимости механизма двухфакторной аутентификации в Windows.
Войти в Windows можно как по логину и паролю, так и при помощи смарт-карты. Администратор может настроить систему так, чтобы она запрашивала исключительно смарт-карту для доступа к ОС либо предоставляла пользователю выбор метода.
Принцип двухфакторной аутентификации подразумевает, что пользователь должен не только знать что-то (например, PIN-код или пароль), но и обладать чем-то (в данном случае — смарт-картой с установленным сертификатом). Только предъявив смарт-карту с корректным сертификатом и введя верный PIN-код, пользователь получает доступ к ОС.
Когда в конфигурации учетной записи домена устанавливается атрибут, отвечающий за аутентификацию по смарт-карте, этой учетной записи присваивается некоторый NT-хеш. Его значение вычисляется случайным образом и не меняется при всех последующих подключениях к ресурсам домена. Контроллер домена при каждой аутентификации отправляет этот хеш на узел, к которому подключается пользователь.
Уязвимость заключается в том, что злоумышленник может получить этот NT-хеш и использовать его для аутентификации методом pass the hash. В этом случае злоумышленнику уже не нужно обладать смарт-картой и знать ее PIN-код, то есть нарушается принцип двух факторов. А если учесть, что хеш постоянен, нарушитель получает возможность в любое время атаковать ресурсы домена с привилегиями скомпрометированной учетной записи.
Для того чтобы получить NT-хеш, злоумышленник может использовать результаты запуска утилиты Mimikatz на узлах сети в рамках атак по сценариям 1, 2 или 3.
На рисунке выше показан запуск Mimikatz на одном из узлов, а на следующем рисунке продемонстрирован результат успешной аутентификации методом pass the hash с полученным хешем пользователя. Этот пользователь входил в группу администраторов серверов, и для него была настроена аутентификация только по смарт-карте.
Кроме NT-хеша и пароля пользователя, злоумышленник может получить и PIN-код смарт-карты в открытом виде.
По сути, если злоумышленник может запускать утилиту Mimikatz на одном из узлов (непосредственно в ОС либо с использованием любого из подходящих методов обхода защиты), он получает возможность компрометировать учетные записи привилегированных пользователей домена — даже при использовании двухфакторной аутентификации. Механизмы авторизации в Windows построены таким образом, что, даже если нарушитель не сможет получить учетную запись администратора, он получит NT-хеш (генерируемый контроллером домена при использовании смарт-карты) либо билет Kerberos. Если NT-хеш не изменяется, не имеет срока действия и может быть использован на любом узле сети (в том числе на контроллере домена), то билет Kerberos выдается лишь на доступ к данному узлу на десять часов и может быть продлен в течение недели. Оба эти значения могут быть использованы злоумышленником для аутентификации в обход двухфакторного механизма для атак pass the hash и pass the ticket.
Рекомендации по защите. В Windows 10 реализована система Remote Credential Guard, которая призвана обеспечить защиту учетных записей при удаленном доступе к ресурсам. В рамках наших исследований мы еще ни разу не встречали Windows 10 в корпоративных сетях, а значит, исследование ее безопасности — дело ближайшего будущего. Использование Remote Credential Guard должно существенно повысить защищенность от атак методом pass the hash.
Заключение
Перечисленные сценарии атак — лишь часть тех техник, что используются в тестах на проникновение. Некоторые атаки на корпоративные сети реализуются намного сложнее, но основаны они на описанных здесь принципах.
Наш отчет призван обратить внимание администраторов систем, сотрудников подразделений информационной безопасности и их руководителей на то, что атаки на их ресурсы вполне предсказуемы. Каждый из описанных сценариев основан на эксплуатации наиболее распространенных уязвимостей, которые можно устранить, изменив конфигурации либо иными методами, требующими минимальных финансовых вложений.
Вот базовые принципы, которых мы рекомендуем придерживаться:
- использовать строгую парольную политику;
- защищать привилегированные учетные записи;
- повышать осведомленность сотрудников в вопросах ИБ;
- не хранить чувствительную информацию в открытом виде;
- ограничить число интерфейсов сетевых служб, доступных на периметре;
- защищать либо отключать неиспользуемые протоколы канального или сетевого уровня;
- разделять сеть на сегменты, минимизировать привилегии пользователей и служб;
- регулярно обновлять ПО и устанавливать обновления безопасности ОС;
- регулярно проводить тестирование на проникновение и анализ защищенности веб-приложений на периметре.
Напомним, что сложность компрометации ресурсов сильно зависит от того, является ли подход к защите комплексным. Дорогостоящие средства безопасности окажутся бесполезными, если пользователи и администраторы ресурсов применяют словарные пароли. В нашей практике было множество примеров, когда словарный пароль лишь одного пользователя позволял развить атаку до получения полного контроля над всей инфраструктурой корпоративной сети. А получив привилегии локального администратора на рабочей станции или сервере, нарушитель может развить атаку, даже несмотря на антивирус. Только при комплексном подходе к защите затраты на дорогостоящие средства безопасности будут оправданны.
WWW
- Расследование атак группы Cobalt;
- Отчет Positive Technologies об атаках в 2016-2017 годах и убытках, которые терпит крупный бизнес (PDF).
Понимание компьютерных атак и методов защиты
Злоумышленники активизировали свои усилия с помощью опасного коктейля из социальной инженерии, сетевых атак и настойчивости. Как ваша организация будет оставаться впереди?
Для корректировки мер ИТ-безопасности в ответ на меняющуюся тактику атак требуются время и деньги. По мере того как защитники постепенно обновляют свои меры безопасности, злоумышленники реагируют соответствующим образом. Такая динамика гонки вооружений ведет к угрозам повышения изощренности и эффективности.Современные киберпреступники часто имеют долгосрочный интерес к своим целям и часто используют социальную инженерию, чтобы проникнуть в защищенную среду. Их тактика обычно включает вредоносную полезную нагрузку, которая пытается взломать систему жертвы и может продолжать распространяться внутри организации. Они также все чаще обращают внимание на слабые места на уровне приложения, а не на уровне системы или сети, чтобы получить данные, которые представляют наибольшую ценность.
Защита ИТ-инфраструктуры требует понимания тактики атак, которые особенно эффективны сегодня.Оценивая и улучшая свою программу информационной безопасности, учитывайте следующие характеристики современных угроз компьютерной безопасности и рекомендации по борьбе с ними.
Социальная инженерия Обход технических средств защиты
Злоумышленники все чаще используют тактику социальной инженерии, чтобы использовать естественные человеческие предрасположенности с целью обхода защит. Такие подходы могут убедить жертв перейти по вредоносным ссылкам, открыть вложения с эксплойтами и установить вредоносное ПО.Психологические факторы, которые злоумышленники используют в атаках социальной инженерии, включают следующее:
- Люди обращают внимание на личные сообщения. Например, вариант червя Waledac направил своих потенциальных жертв на веб-сайт, на котором был показан отрывок из новостей о предполагаемом взрыве. Сообщение было настроено таким образом, чтобы включать в себя географическое положение посетителя как место предполагаемого взрыва, чтобы побудить человека установить (троянский) видеоплеер для просмотра новой истории, имеющей непосредственное отношение к делу.В другом примере злоумышленники отправляли целевые сообщения электронной почты с вредоносными вложениями под предлогом предоставления повестки дня предстоящей встречи. Злоумышленник сделал ставку на вероятность того, что получатель назначит встречу и захочет просмотреть ее повестку дня.
- Люди соблюдают социальные нормы, ищут в других поведенческие сигналы. Одним из примеров такого поведения является склонность людей переходить по ссылкам, которыми поделились их друзья в социальных сетях, таких как Facebook и Twitter.Червь Koobface очень успешно убеждает людей посещать вредоносные веб-сайты, размещая ссылки на них с использованием учетных записей жертв в социальных сетях. В другом примере червь Nugache использовал зараженные системы для загрузки своих вредоносных компонентов с легитимного сайта отслеживания загрузок, повышая популярность своих файлов для привлечения новых жертв.
- Люди доверяют средствам безопасности. Подобно тому, как люди доверяют людям, которые выглядят как врачи, нося лабораторные халаты, пользователи иногда слепо доверяют мерам, принимаемым ради безопасности.Незаконные антивирусные инструменты очень успешно распространяются, убеждая жертв в том, что их компьютеры заражены и требуют немедленного вмешательства. Злоумышленники также использовали цифровые сертификаты для подписи вредоносных исполняемых файлов, как это было в случае со Stuxnet, ожидая, что просмотр подписанного файла снизит защиту цели.
Такие методы социальной инженерии объединяют границу между внешними и внутренними угрозами, потому что социальная инженерия позволит внешним злоумышленникам быстро получить внутреннюю выгодную позицию.Например, оказавшись внутри защищаемого периметра, злоумышленники преследуют цели, недоступные извне. Чтобы учесть этот вектор угроз, включите концепции социальной инженерии в свою программу повышения осведомленности о безопасности, чтобы ваши сотрудники более устойчивы к такой тактике. Оцените степень, в которой ваши сотрудники усвоили ключевые концепции, предоставьте обратную связь и при необходимости скорректируйте обучение.
Чтобы еще больше укрепить вашу позицию, используйте средства защиты, предполагая, что некоторые сотрудники будут проходить социальную инженерию, несмотря на обучение по вопросам безопасности.Это включает:
- Блокировка рабочей станции для минимизации ущерба, который может нанести процесс, запущенный с привилегиями пользователя
- Ограничение прав сотрудников на доступ к сети и приложениям в соответствии с потребностями их бизнеса
- Просмотр журналов активности для выявления случаев неправомерного использования учетных записей пользователей и доступа.
- Оценка эффективности программного обеспечения безопасности вашего браузера с точки зрения его способности ограничивать доступ к опасному контенту или коду, загружаемому пользователем
Выбор рабочих станций через браузер
Злоумышленникам удалось проникнуть в систему защиты предприятия, воспользовавшись ошибками в веб-браузере или в программном обеспечении, которое он может вызывать.Такие клиентские эксплойты предназначались для надстроек браузера, таких как Flash и Java Runtime Environment (JRE), а также для кода, который является частью самого веб-браузера. Они также нацелены на средства просмотра и редактирования документов, такие как Adobe Reader и Microsoft Office. Эксплойты могут быть доставлены жертвам по электронной почте в виде вложений или ссылок или могут быть представлены, когда жертва встречает вредоносный веб-сайт во время просмотра веб-страниц.
Хотя клиентские эксплойты были частью ландшафта угроз в течение ряда лет, несколько факторов делают рабочие станции более привлекательной целью, чем когда-либо прежде:
- Защитники, похоже, все лучше справляются с блокировкой серверной инфраструктуры.
- Сдвиг в корпоративной культуре и доступность приложений, размещаемых на внешнем сервере, делают работу сотрудников за пределами защищенного периметра сети обычным явлением.
- Люди, которые предпочли социальные сети в Интернете, похоже, стали более неразборчивыми в обмене информацией и переходе по ссылкам.
Еще одним фактором, который, похоже, делает атаки на рабочие станции более частыми, является повышенная доступность и мощные комплекты эксплойтов, которые автоматизируют использование уязвимостей на стороне клиента.Ключевой характеристикой набора эксплойтов является легкость, с которой его могут использовать даже злоумышленники, не являющиеся экспертами в области ИТ или безопасности. Набор эксплойтов действует как стартовая платформа для доставки другой полезной нагрузки, которая может включать бота, бэкдор, шпионское ПО или вредоносное ПО другого типа.
Злоумышленники продолжат поиск уязвимостей на рабочих станциях, которые могут быть использованы через веб-браузеры жертв. Рассмотрите следующие меры, чтобы улучшить вашу способность противостоять такой тактике:
- Используйте инструменты системы управления предприятием (EMS), , такие как групповая политика, для централизованного управления настройками веб-браузера, отключения ненужных функций, настройки прокси, отключения рискованного добавления -оны и так далее.
- Следите за развитием новых функций браузера, таких как «песочницы», включенные в Internet Explorer и Google Chrome. Учитывайте такие развивающиеся возможности безопасности при принятии решения о том, какие веб-браузеры поручить или рекомендовать вашим пользователям.
- Просмотрите использование методов безопасной компиляции , таких как ASLR и DEP, в программном обеспечении, которое может быть нацелено через браузер. Например, в декабре 2010 года был обнаружен эксплойт нулевого дня, нацеленный на DLL Internet Explorer, которая не была скомпилирована для поддержки ASLR, что позволило злоумышленнику взломать уязвимые рабочие станции.Инструменты Microsoft Process Explorer и Enhanced Mitigation Experience Toolkit (EMET) могут помочь в этом процессе.
- Ограничьте локальные привилегии, которые пользователи имеют на своих рабочих станциях, затрудняет раскрытие вредоносным ПО своего полного потенциала на хосте. Это часто связано с удалением прав администратора у пользователей, которым они не нужны, или с лишением более важных прав у административных групп. Возможности контроля учетных записей (UAC) в Windows Vista и 7 предлагают аналогичные преимущества даже для пользователей, вошедших в систему с правами локального администратора.
- Оцените возможности инструментов безопасности, которые вы используете для защиты действий при просмотре веб-страниц на уровне сети и конечной точки. Рассмотрите возможность развертывания продуктов, которые имеют функции, специально разработанные для выявления злонамеренных действий в веб-трафике и защиты браузера.
Взломанные веб-приложения
По мере того, как наши методы обеспечения безопасности инфраструктуры становятся более зрелыми, злоумышленники обращают свое внимание на веб-приложения. В некоторых случаях цель злоумышленников — взломать веб-сайты, чтобы их можно было использовать для нацеливания на уязвимости на стороне клиента через браузеры посетителей.Злоумышленники также обычно преследуют веб-приложения, которые обрабатывают или хранят ценные данные. Такие атаки на уровне приложений, которые были очень успешны в обходе защиты, включают следующую тактику:
- атаки SQL-инъекций, , которые обходят входные фильтры приложения для получения неограниченного доступа к базовой базе данных
- Недостатки бизнес-логики, , которые используют слабые места в рабочих процессах, реализованных приложением, например способ определения всех допустимых имен пользователей с помощью страницы сброса пароля.
- Методы подбора паролей, , которые используют автоматизированные инструменты для подбора паролей, которые используют известные словарные слова или которые иным образом предсказуемы
- Атаки межсайтового скриптинга (XSS), которые обходят входные или выходные фильтры приложения для выполнения вредоносные скрипты в браузере пользователя приложения
Список эффективных векторов атак на уровне приложений слишком велик, чтобы его можно было здесь включить. Для получения дополнительных сведений ознакомьтесь с проектом OWASP Top Ten.Почему так много приложений уязвимы для такой тактики? Отчасти потому, что многие разработчики не обучены писать защищенный от атак код. Более того, в стимулах разработчиков предпочтение отдается функциям и срокам, а не защитной позиции приложения. Еще одна причина — инфраструктурная направленность многих программ безопасности, которые не уделяют должного внимания вопросам уровня приложений.
Вот несколько предложений по решению проблем, связанных с угрозами и уязвимостями на уровне приложений:
- Разбейте стену между группами безопасности инфраструктуры и приложений в вашей организации, поощряя сотрудничество и обеспечивая должное внимание компании к приложениям -уровневая безопасность.
- Понимать бизнес-цель приложений, сочетая эти знания с подробностями о том, как конфиденциальные данные проходят через приложения и инфраструктуру. Используйте эту информацию, чтобы определить приоритеты ваших усилий по обеспечению безопасности.
- Включите компоненты приложения в свои проекты тестирования на проникновение , чтобы имитировать вероятные действия злоумышленников, стремящихся обойти вашу защиту. Обязательно включите ручное тестирование, поскольку полностью автоматизированные методы могут привести к многочисленным ложным срабатываниям и ложным отрицаниям.
- Включите журналы приложений как часть управления журналами или управления информацией и событиями безопасности (SIEM). Включите спецификации предупреждений безопасности и ведения журнала в требования к разработке приложений для поддержки этого.
- Включите в свой план реагирования на инциденты шаги, связанные с приложением. Слишком часто организации сосредотачиваются только на действиях на системном или сетевом уровне при подготовке к реагированию на инциденты безопасности.
- Создать практическую и всеобъемлющую программу безопасности веб-приложений, , которая должна включать в себя рекомендации по кодированию безопасности и архитектуре приложений, обучение разработчиков методам безопасного кодирования и автоматические способы выявления хотя бы некоторых уязвимостей во время создания, тестирования и развертывания кода.
Злоумышленники с долгосрочными интересами
Несмотря на то, что значительное количество вторжений все еще можно классифицировать как быстрые инциденты, многие злоумышленники продемонстрировали желание и способность инвестировать в долгосрочные кампании для достижения финансовых и финансовых результатов. некоторые случаи, политические цели. Такие целенаправленные действия обычно состоят из серии событий, которые растянуты на месяцы и даже годы. В последнее время атаки с долгосрочными интересами приняли следующие формы:
- Злоумышленники развертывают вредоносное ПО, которое действует как платформа преступного ПО для различных действий, включая кражу данных, распределенные атаки типа «отказ в обслуживании» (DDoS) и спам-кампании.Например, червь Conficker быстро распространился без «деловой» цели, которая изначально наблюдалась; Позднее вредоносная программа использовалась для различных схем заработка.
- Злоумышленники исследуют людей и технологии, которые составляют целевые организации. Это помогает обеспечить успех начального компромисса и последующих действий. Атаки на стороне клиента могут быть направлены на конкретных лиц с целью нацеливания на программное обеспечение, установленное на их рабочих станциях, в контексте, не вызывающем подозрений.Еще одна иллюстрация подготовки злоумышленников была очевидна в инциденте со Stuxnet.
- Атакующие корректируют тактику в ответ на действия защитников. Например, группа, стоящая за червем Koobface, изменила способ использования своего вредоносного ПО в социальных сетях, чтобы приспособиться к улучшениям безопасности этих сайтов. Подобные характеристики продемонстрировали злоумышленники в выявленных инцидентах с расширенной постоянной угрозой (APT).
- Злоумышленники постоянно присутствуют в скомпрометированной среде. В результате, даже если организация обнаружит некоторые из скомпрометированных систем, злоумышленник может продолжить работу в инфраструктуре организации. Эти характеристики были описаны в контексте сценариев APT.
Рассмотрите следующие рекомендации, чтобы подготовиться к реагированию на инциденты, которые могут быть приписаны злоумышленникам с длительными инцидентами:
- Измените перспективу ваших усилий по обеспечению безопасности с попыток предотвратить нарушения — что нереалистично перед лицом большинства целевые атаки — для противодействия вторжениям.Изменение предполагает принятие того, что произойдет компромисс, и рассмотрение того, как вы его обнаружите и отреагируете на него.
- Определите, где находятся ваши ценные данные , и соответствующим образом скорректируйте свои расходы на оборону, чтобы злоумышленникам было дороже достичь своих вероятных целей.
- Определите людей, которые с наибольшей вероятностью станут объектами атаки, возможно, потому что они находятся в поле зрения общественности или потому, что у них есть доступ к ценным данным. Предоставьте им дополнительное обучение безопасности и механизмы безопасности, чтобы лучше противостоять атакам, направленным на них.
- Информируйте сотрудников о рисках непреднамеренной утечки данных на общественных форумах , таких как социальные сети и блоги. Объясните, как злоумышленники, которые отслеживают действия с течением времени, могут собирать значимые и действенные сведения из фрагментов данных, которые сами по себе могут быть безобидными.
Современные компьютерные атаки понимают слабые места, присущие защитным возможностям своих целей, иногда лучше, чем сами организации-жертвы. Злоумышленники часто включают элементы социальной инженерии, чтобы убедить жертв выполнить действия, желаемые злоумышленниками, такие как переход по ссылкам, распространение URL-адресов или предоставление учетных данных.Злоумышленники часто нацелены на уязвимости на стороне клиента, осознавая, что предприятиям сложно поддерживать рабочие станции в актуальном состоянии с помощью исправлений безопасности.
Киберпреступники также нацелены на уязвимости в веб-приложениях, чтобы получить доступ к ценным данным и получить платформу для атак на посетителей веб-сайтов. Многие злоумышленники являются частью хорошо организованных групп, ориентированных на получение прибыли, которые готовы вкладывать время и деньги в достижение своих целей. В результате организации должны быть готовы противостоять атакам, которые могут длиться месяцы и годы.Чтобы противостоять тактике атаки, описанной выше, необходимо понимать угрозы, чтобы вы могли соответствующим образом выстраивать и корректировать свою защиту.
Обновлено 30 января 2015 г.
Ленни ЗельцерКак предотвратить атаки программ-вымогателей: все, что вам нужно знать
Защищен ли ваш компьютер от атак программ-вымогателей? Программы-вымогатели — это разновидность вредоносного ПО (вредоносного ПО), которое преступники используют для вымогательства денег. Он хранит данные с целью выкупа с помощью шифрования или блокирования доступа пользователей к их устройствам.
Эта статья научит вас всему, что нужно знать о защите от программ-вымогателей.Мы исследуем различные способы защиты вашего компьютера и ваших данных от атак программ-вымогателей.
В этой статье мы рассмотрим:
- Как предотвратить программы-вымогатели
- Что делать при атаке программы-вымогателя
- Удаление программ-вымогателей
- Известные атаки программ-вымогателей 2018
- Как защитить компьютер от программ-вымогателей
Защита от программ-вымогателей
В этом разделе мы даем вам советы о том, как предотвратить атаки программ-вымогателей, от того, чтобы никогда не переходить по непроверенным ссылкам, до отказа от использования незнакомых USB-устройств.Прочтите, чтобы узнать больше о предотвращении программ-вымогателей.
Никогда не переходите по непроверенным ссылкам
Не нажимайте ссылки в спам-сообщениях или на незнакомых веб-сайтах. Загрузки, которые начинаются при нажатии на вредоносные ссылки, — это один из способов заражения вашего компьютера.
Как только программа-вымогатель окажется на вашем компьютере, она зашифрует ваши данные или заблокирует вашу операционную систему. Как только у программы-вымогателя есть что-то, что можно удержать в качестве «заложника», она потребует выкуп, чтобы вы могли восстановить свои данные.Уплата выкупа может показаться самым простым решением. Однако это именно то, что злоумышленник хочет от вас, и уплата выкупа не гарантирует, что он предоставит вам доступ к вашему устройству или ваши данные обратно.
Не открывать ненадежные вложения электронной почты
Еще один способ проникновения программ-вымогателей на ваш компьютер — это вложение электронной почты.
Не открывайте вложения электронной почты от отправителей, которым вы не доверяете. Посмотрите, от кого пришло письмо, и убедитесь, что адрес электронной почты правильный.Обязательно проверьте, выглядит ли вложение подлинным, прежде чем открывать его. Если вы не уверены, свяжитесь с человеком, который, по вашему мнению, отправил его, и проверьте еще раз.
Никогда не открывайте вложения, которые просят вас включить макросы для их просмотра. Если вложение заражено, при его открытии запускается вредоносный макрос, дающий зловреду контроль над вашим компьютером.
Загружайте только с доверенных сайтов
Чтобы снизить риск загрузки программ-вымогателей, не загружайте программное обеспечение или мультимедийные файлы с неизвестных веб-сайтов.
Зайдите на проверенные, проверенные сайты, если хотите что-то скачать. У большинства авторитетных веб-сайтов есть маркеры доверия, которые вы можете распознать. Просто посмотрите в строку поиска, чтобы увидеть, использует ли сайт «https» вместо «http». В адресной строке также может отображаться значок щита или замка, чтобы убедиться, что сайт безопасен.
Если вы что-то загружаете на свой телефон, убедитесь, что вы загружаете что-то из надежных источников. Например, телефоны Android должны использовать Google Play Store для загрузки приложений, а пользователи iPhone должны использовать App Store.
Избегайте разглашения личных данных
Если вы получили звонок, текстовое сообщение или электронное письмо из ненадежного источника, в котором запрашивается личная информация, не сообщайте ее.
Киберпреступники, планирующие атаку программы-вымогателя, могут попытаться получить личные данные до начала атаки. Они могут использовать эту информацию в фишинговых письмах, чтобы нацеливаться на вас.
Цель состоит в том, чтобы заставить вас открыть зараженное вложение или ссылку. Не позволяйте злоумышленникам заполучить данные, которые делают их ловушку более убедительной.
Если с вами свяжется компания с просьбой предоставить информацию, проигнорируйте запрос и обратитесь в компанию самостоятельно, чтобы проверить подлинность.
Использовать сканирование и фильтрацию содержимого почтового сервера
Использование сканирования и фильтрации содержимого на ваших почтовых серверах — разумный способ предотвратить программы-вымогатели.
Это программное обеспечение снижает вероятность попадания в ваш почтовый ящик спама, содержащего вложения или ссылки, зараженные вредоносным ПО.
Никогда не используйте незнакомые USB-устройства
Никогда не вставляйте USB-накопители или другие съемные устройства хранения в свой компьютер, если вы не знаете, откуда они взялись.
Киберпреступники могли заразить устройство программой-вымогателем и оставить его в публичном месте, чтобы соблазнить вас им воспользоваться.
Регулярно обновляйте программное обеспечение и операционную систему
Регулярное обновление программного обеспечения и операционной системы поможет защитить вас от вредоносных программ. Потому что, когда вы запускаете обновление, вы гарантируете, что получаете последние исправления безопасности, что затрудняет злоумышленникам использование уязвимостей в вашем программном обеспечении.
Использование VPN при использовании общедоступной сети Wi-Fi
Осторожность с общедоступным Wi-Fi — разумная мера защиты от программ-вымогателей.
Когда вы используете общедоступный Wi-Fi, ваша компьютерная система более уязвима для атак. Чтобы оставаться в безопасности, избегайте использования общедоступного Wi-Fi для конфиденциальных транзакций или используйте безопасный VPN.
Используйте программное обеспечение безопасности
По мере того, как киберпреступность становится все более распространенной, защита от программ-вымогателей как никогда важна. Защитите свой компьютер от программ-вымогателей с помощью комплексного решения интернет-безопасности, такого как Kaspersky Internet Security.
При загрузке или потоковой передаче наше программное обеспечение блокирует зараженные файлы, предотвращая заражение вашего компьютера программами-вымогателями и сдерживая киберпреступников.
Регулярно обновляйте программное обеспечение безопасности
Чтобы воспользоваться высочайшим уровнем защиты, которую может предложить программное обеспечение для обеспечения безопасности в Интернете, постоянно обновляйте его. Каждое обновление будет включать последние исправления безопасности и максимальную защиту от программ-вымогателей.
Резервное копирование данных
Если вы столкнетесь с атакой программы-вымогателя, ваши данные останутся в безопасности, если будет выполнено резервное копирование. Убедитесь, что все скопировано на внешний жесткий диск, но не оставляйте его подключенным к компьютеру, когда он не используется.Если жесткий диск подключен к сети, когда вы стали жертвой атаки вымогателя, эти данные также будут зашифрованы.
Кроме того, облачные хранилища позволяют вернуться к предыдущим версиям файлов. Поэтому, если они будут зашифрованы программой-вымогателем, вы сможете вернуться к незашифрованной версии через облачное хранилище.
Как реагировать на атаки программ-вымогателей
Теперь вы знаете, как предотвратить программы-вымогатели, но что, если вы уже стали жертвой атаки программы-вымогателя?
В случае атаки программы-вымогателя важно знать, что делать.Вот несколько простых шагов, которые нужно выполнить, чтобы минимизировать ущерб.
Изолируйте свой компьютер
Если вы столкнулись с атакой программы-вымогателя, первое, что нужно сделать, — это отключиться от любых сетей и Интернета.
Такое отключение изолирует ваш компьютер и сводит к минимуму вероятность распространения вируса-вымогателя на другие компьютеры.
Никогда не платите выкуп
Не платить выкуп, требуемый киберпреступниками, осуществляющими атаку с использованием программ-вымогателей.
Как и в реальной ситуации с заложниками, лучше не вступать в переговоры с киберпреступниками. Уплата выкупа не гарантирует возврата ваших данных — ведь эти люди уже манипулировали вашим доверием.
Обрушение и оплата также поощряют такого рода преступления. Чем больше людей платят выкуп, тем популярнее становятся атаки программ-вымогателей.
Начать удаление программы-вымогателя
Чтобы избавить компьютер от программ-вымогателей, следуйте нашим простым шагам по удалению программ-вымогателей, описанным в разделе ниже.
Руководство по удалению программ-вымогателей
Выполните следующие действия по удалению программы-вымогателя, чтобы восстановиться после атаки программы-вымогателя.
Шаг 1. Отключитесь от Интернета
Во-первых, отключитесь от Интернета, чтобы остановить распространение программы-вымогателя на другие устройства.
Шаг 2. Запустите сканирование с помощью программы обеспечения безопасности в Интернете
Используйте установленное вами программное обеспечение для обеспечения безопасности в Интернете, чтобы запустить сканирование. Это поможет выявить любые угрозы. Если он обнаружит какие-либо опасные файлы, их можно удалить или поместить в карантин.
Шаг 3. Используйте средство дешифрования программ-вымогателей
Если ваш компьютер заражен шифровальщиком-вымогателем, вам нужно будет использовать дешифратор вымогателя, чтобы расшифровать ваши файлы и данные, чтобы вы могли снова получить к ним доступ.
В «Лаборатории Касперского» мы постоянно изучаем новейшие формы программ-вымогателей, чтобы создавать дешифраторы программ-вымогателей для противодействия каждой новой угрозе.
Шаг 4. Восстановление файлов из резервной копии
Если вы выполнили резервное копирование данных извне или в облачном хранилище, восстановите чистую резервную копию всех файлов на вашем компьютере.Это позволяет вам вернуться к версии программного обеспечения, не содержащей вредоносных программ.
Если у вас нет резервной копии, очистить компьютер и восстановить файлы будет намного сложнее. Чтобы этого не происходило, рекомендуется регулярно создавать резервные копии данных . Если вы склонны забывать, воспользуйтесь услугами автоматического резервного копирования в облако или настройте напоминания календаря для себя.
История атак программ-вымогателей
В этой статье даются советы по предотвращению программ-вымогателей, обсуждается, как бороться с атаками программ-вымогателей, и объясняется простой процесс удаления программ-вымогателей.
Теперь давайте рассмотрим три недавних примера программ-вымогателей. Понимание того, как раньше распространялись программы-вымогатели, поможет нам понять, почему защита от программ-вымогателей так важна.
Разлом Росомахи
Атака программы-вымогателя поразила Wolverine Solutions Group (поставщик сектора здравоохранения) в сентябре 2018 года. Вредоносное ПО зашифровало многие файлы компании, в результате чего сотрудники не могли получить к ним доступ.
К счастью, эксперты-криминалисты смогли расшифровать и восстановить их 3 октября.Однако менее удачным оказался тот факт, что в результате атаки были скомпрометированы данные многих пациентов.
Имена, адреса, медицинские данные и другая личная информация могли попасть в руки киберпреступников, осуществивших атаку.
Рюк
Ryuk — это атака с использованием программ-вымогателей, которая началась в августе 2018 года. Она отличалась от других атак тем, как способна шифровать сетевые диски.
В результате хакеры смогли заблокировать функцию восстановления системы Windows, в результате чего пользователи не могли восстановиться после атаки, если у них не было резервных копий данных извне.
GandCrab
GandCrab — это разрушительная атака вымогателя, которая произошла в январе 2018 года. У нее было много версий, и она стала печально известной из-за быстрого распространения инфекции.
Полиция в тесном сотрудничестве с провайдерами интернет-безопасности создала дешифратор программы-вымогателя для противодействия последствиям этой атаки.
Хотите, чтобы ваши данные не использовались с целью выкупа? Защитите свой компьютер с помощью бесплатного Kaspersky Anti-Ransomware Tool или Premium Kaspersky Anti-Ransomware Products
Векторные изображения Компьютерная атака, Стоковые векторные изображения Компьютерная атака
и Роялти-Фри Изображения Компьютерная атака | Depositphotos®Концепция защиты от взлома.Плоские векторные иконки — интернет-безопасность и вирусКонцепция черепа компьютерного вирусаКонцепция дизайна медицинских заболеваний Интернет-фишинг с логином и паролем, концепция безопасности, кибербезопасность и хакерская концепция, значки хакерских атак, бизнесмен, держащий рыболовный крючок для фишинга, имя пользователя и пароль, изолированные значки интернет-безопасности. Eating FolderИнтернет-фишинг: концепция логина и пароляИнтернет-фишинг, взлом логина и пароля, концепция интернет-безопасностиКонцепция защиты от взлома.Интернет-безопасность и предупреждение о шпионских программахСветящиеся часы системы безопасности. Вирус2Плакат по интернет-безопасностиБорьба с вирусами и атакамиКонцепция защиты от взлома. Векторная иллюстрация киберпреступности и концепции кибербезопасности. Обмен информацией Компьютер с зашифрованным файлом вымогателей на компьютере жертвы. Защита от взлома. Абстрактный логотип доллара технологии на двоичный код и красный фон передач.Векторная иллюстрация киберпреступности и концепции кибербезопасности. Компьютерная преступностьАннотация вредоносных программ-вымогателей зашифрованные файлы на портативном компьютере с ключом на фоне двоичных разрядов. Векторная иллюстрация киберпреступности и концепции кибербезопасности. Интернет-фишинг с логином и паролем. Изометрические векторные Интернет-хакерские атаки и концепция безопасности личных данных. Технологии компьютерной безопасности. Электронный спам, вирусы, взлом банковских счетов. Хакер работает над кодом. Концепция интернет-преступности. Плоский набор хакерских иконокГрафическая презентация контента о толстых женщинах с ожирением и сердцемИнтернет-хакер ИнфографикаХакер, концепция интернет-безопасностиАбстрактный компьютерный фон с кодом и замком — опасность кибе увеличительное стекло найти шифровальщик-вымогатель cКиберпреступность, облако слов, атаки хакеров, Интернет-пираты и пиратские сайтыПо мере развития бизнес-технологий и систем безопасности изменяются и тактики, используемые киберпреступниками.В 2018 году компании по всему миру потеряли 2,7 миллиарда долларов из-за киберпреступности, и исследования показывают, что эта цифра будет расти с каждым годом. Эти потери включают в себя выкуп, уплаченный кибератакам, штрафы, деньги, уплаченные за обновления и ремонт, а также расходы, связанные с потерянными клиентами и ухудшением репутации.
Распространенное заблуждение, что только крупные организации подвергаются риску кибератак. Тем не менее, наблюдается значительный рост целевой аудитории малого и среднего бизнеса. Это связано с тем, что эти небольшие организации, как правило, используют менее сложные меры кибербезопасности.До 50% всех кибератак нацелены на малый бизнес и обходятся в среднем в 200 000 долларов — этого достаточно, чтобы вывести из бизнеса менее известные компании.
Чтобы защитить свой бизнес от кибератак, вы должны вооружиться системой безопасности корпоративного уровня и знаниями о различных типах кибератак, с которыми сегодня сталкиваются предприятия. Понимая, с чем вы сталкиваетесь, вы можете эффективно бороться с кибератаками и минимизировать уязвимость своего бизнеса для них.
Вот список из 6 распространенных типов кибератак.Смело переходите к выбранному описанию:
- Атака внедрения SQL-кода
- Фишинговые и целевые фишинговые атаки
- Вредоносное ПО
- Ботнеты
- Атаки с использованием межсайтовых сценариев
- Отказ в обслуживании и распределенные атаки отказа в обслуживании
В этом руководстве описаны наиболее распространенные типы кибератак и рекомендуется SolarWinds ® Security Event Manager (SEM) — среди других инструментов — как сложное, всеобъемлющее и удобное решение для ваших нужд ИТ-безопасности.
Вот список всех решений, представленных в этой статье:
- Менеджер событий безопасности SolarWinds
- Менеджер исправлений SolarWinds
- Монитор идентификации SolarWinds
- Анализатор журнала событий ManageEngine
- Malwarebytes
- pfSense
Что такое кибератака?
Кибератака — это умышленная попытка использовать сети, компьютерные системы и предприятия, зависящие от технологий.Кибератаки используют вредоносный код для изменения компьютерных данных, кода или логики, что часто приводит к компрометации данных, а иногда и к краже личных данных или информации . Кибератаку иногда называют атакой компьютерной сети или CNA.
Типы кибератак
В кибербезопасности существует множество типов атак. И хотя атаки развиваются каждый день, киберпреступники редко пытаются изобретать велосипед. Вместо этого они в значительной степени полагаются на эффективные подходы.Следующий список типов кибератак посвящен тем, которые наиболее часто используются преступниками.
Для каждого типа я дал рекомендации по инструментам, которые помогут защитить ваш бизнес. Я подробно рассмотрю эти инструменты во второй половине этой статьи.
- Атака с использованием SQL-инъекции
Атака с использованием SQL-инъекции стала распространенной проблемой для веб-сайтов, управляемых базами данных. Эти атаки происходят, когда киберпреступник выполняет SQL-запрос и отправляет его в базу данных, доставляя его от клиента на сервер через входные данные .Команда SQL вводится во входные данные уровня данных, часто вместо пароля или учетных данных для входа. Это позволяет киберпреступнику запускать собственные предопределенные команды SQL.
Когда атака с использованием SQL-инъекции успешна, конфиденциальная информация может быть прочитана, украдена, изменена, вставлена, обновлена или удалена. Кибератаки могут также выполнять административные процессы, такие как завершение работы, в базе данных; восстанавливать контент из любого файла; и даже отдавать команды операционной системе.
Средства обнаружения SQL-инъекций:
- Фишинговые и целевые фишинговые атаки
Фишинговая атака заключается в том, что киберпреступник отправляет электронные письма, предположительно, из надежных источников .Цель этого типа атак — получить конфиденциальную информацию о человеке или заставить его что-то сделать. Например, он может содержать вложение, которое загружает вредоносное ПО на устройство при открытии. В качестве альтернативы он может предоставить ссылку на поддельный веб-сайт , чтобы убедить кого-то передать свою информацию или заставить его загрузить вредоносное программное обеспечение.
Spear-фишинг более целенаправлен. Эти атаки требуют, чтобы злоумышленники провели исследование своих целей, чтобы они могли создать индивидуальный и личный адрес электронной почты.Это делает защиту от целевого фишинга очень сложной задачей. Например, поле «от» в электронном письме может быть фальшивым, что заставляет получателя полагать, что сообщение пришло от кого-то, кого они знают; или электронное письмо может быть якобы от работодателя человека с просьбой о срочном финансировании. Еще одна популярная методика целевого фишинга — клонирование законного веб-сайта, тем самым вынуждая человека ввести свои учетные данные или личную информацию.
Средства обнаружения Spear Phishing:
- Вредоносное ПО
Вредоносное ПО или «вредоносное программное обеспечение» — это нежелательного программного обеспечения, установленного в вашей системе или устройстве без вашего ведома или с разрешения .Вредоносное ПО часто проникает в систему, присоединяясь к аутентичному коду и распространяясь. Он может скрываться в приложениях или дублироваться через Интернет. Существует много различных типов вредоносных программ, и с каждым годом их становится все больше, но это самые распространенные типы вредоносных программ:
- Инфекторы системы или загрузочной записи: Вирусы загрузочной записи прикрепляются к основной загрузочной записи на жестких дисках. Когда система инициализируется, она проверяет загрузочный сектор, а затем загружает вирус в системную память, где заражает другие компьютеры и диски.
- Макровирусы: Макровирус заражает приложения, такие как Microsoft Excel и Word, присоединяясь к процессу их инициализации. При запуске приложения макровирус выполняет инструкции и передает управление зараженному приложению. Затем он реплицируется и присоединяется к другому коду.
- Заражающие файлы: Эти вирусы прикрепляются к исполняемому коду, например к файлам .exe. Когда код загружен, вирус устанавливается. Другой тип файлового инфектора создает вирусный файл с тем же именем, что и у легитимного файла, но с расширением.расширение exe. При открытии файла запускается код вируса.
- Троянские программы: Троян, иногда называемый троянским конем, представляет собой вредоносную программу, скрывающуюся в законной программе. Разница между обычными вирусами и троянами в том, что трояны не могут воспроизводиться. Трояны не только запускают атаку, но и создают лазейку для использования в будущих атаках . Например, троян может быть разработан для создания порта с большим номером, который позволит злоумышленнику выполнить новую атаку.
- Стелс-вирусы: Эти вирусы маскируются, беря под контроль системные процессы и функции. Они взламывают программное обеспечение для обнаружения вредоносных программ, поэтому оно сообщает о зараженных аспектах системы как о незараженных. Стелс-вирусы могут скрыть увеличение размера используемого файла и изменение даты последнего изменения файла.
- Логические бомбы: Логические бомбы — еще один пример вредоносной программы. Эти вирусы прикрепляются к приложению и запускаются определенными событиями, такими как определенное время или дата.
- Программа-вымогатель : Программа-вымогатель — это хорошо известный тип вируса, который предотвращает доступ к данным системы. Злоумышленник также может пригрозить опубликовать или удалить конфиденциальную информацию, если выкуп не будет уплачен. Простые программы-вымогатели относительно легко исправить, но когда злоумышленник использует более изощренные вредоносные программы, такие как криптовирусное вымогательство, восстановление файлов практически невозможно.
- Рекламное ПО: Рекламное ПО — это программа, используемая предприятиями в рамках своей маркетинговой деятельности.Обычно это проявляется в виде рекламы или баннеров, отображаемых во время работы приложений. Когда вы просматриваете веб-сайт, рекламное ПО может автоматически загружаться на ваше устройство.
- Шпионское ПО: Этот тип кибератак предназначен для сбора информации о жертве, в частности о ее привычках просмотра. Шпионское ПО отслеживает все, что вы делаете без вашего согласия или ведома, и доставляет информацию непосредственно удаленному пользователю. Он может устанавливать другие вредоносные приложения в вашу систему через Интернет.
Средства обнаружения вредоносных программ:
- Ботнеты
Ботнет состоит из персональных компьютеров или устройств, которые взаимодействуют друг с другом для выполнения определенной задачи . Мы называем это «ботнетом», потому что эти программы, также известные как боты или роботы, существуют в сети устройств.
Один бот не может нанести слишком большого урона, но в совокупности они мощные и потенциально опасные . Ботнеты используются киберпреступниками для проведения ряда кибератак.Они могут помочь кибератакам облегчить атаку типа «отказ в обслуживании», например, при которой веб-страница наводняется трафиком, предназначенным для перевода ее в автономный режим. Такие атаки могут стоить бизнесу миллионы долларов убытков, штрафов и клиентов.
Ботнеты также используются для кражи паролей и конфиденциальной информации , распространения спама и распространения вирусов. Ботнеты — популярные инструменты для киберпреступников, потому что они дешевые и эффективные. Чтобы защитить свой бизнес от ботнетов, вам следует использовать комплексное решение для ИТ-безопасности.
Бот-атака может использоваться для обхода мер безопасности корпоративного брандмауэра и потенциально может заразить тысячи устройств, превратив их в сеть ботов. Эти боты будут оставаться безопасными до тех пор, пока не установят связь с сервером управления и контроля. Затем армии ботов могут запускать ряд атак, в том числе онлайн-масштабирование, крипто-майнинг и многое другое.
Средство обнаружения ботнета:
● SolarWinds SEM
- Атаки межсайтовых сценариев
Атаки с использованием межсайтовых сценариев, также известные как XSS-атаки , используют сторонние веб-ресурсы для выполнения сценариев в программе пользователя или веб-браузере .XSS-атаки заключаются в том, что злоумышленник вводит полезную нагрузку, зараженную вредоносным кодом JavaScript, в базу данных веб-сайта. Если предполагаемая жертва пытается посетить страницу на этом веб-сайте, страница передается с полезной нагрузкой как часть тела HTML. Затем он передается в браузер предполагаемой жертвы, который активирует скрипт.
Сценарий может отправить файл cookie пользователя на сервер злоумышленника. Это позволит злоумышленнику извлечь его и использовать для перехвата сеанса.XSS может иметь серьезные последствия при использовании других уязвимостей, которые потенциально могут позволить злоумышленнику делать снимки экрана, регистрировать активность клавиатуры, красть сетевые данные и даже удаленно управлять устройством жертвы.
XSS может использоваться для запуска атаки из ActiveX, Flash, VBScript и JavaScript . Поскольку JavaScript широко поддерживается, это наиболее часто используемый метод проведения XSS-атак.
Многие веб-приложения имеют слабые места, которые позволяют киберпреступникам использовать XSS для искажения информации о посещаемых веб-сайтах.Чтобы поймать жертву, злоумышленнику достаточно заставить ее взаимодействовать с этими незаконными веб-страницами и бессознательно щелкнуть вредоносный скрипт . Учитывая, насколько легко кто-то может стать жертвой атаки такого рода, использование эффективного решения безопасности имеет решающее значение.
Средство обнаружения межсайтовых сценариев:
- Атаки типа «отказ в обслуживании» и «распределенный отказ в обслуживании»
Атака типа «отказ в обслуживании» (DoS) — это , используемая хакерами для перегрузки ресурсов системы , в результате чего система перестает отвечать на запросы обслуживания.Распределенная атака типа «отказ в обслуживании» (DDoS) также нацелена на ресурсы системы, но источником запуска является большое количество хост-компьютеров, каждая из которых заражена и находится под контролем кибератак.
DDoS-атаки работают в партнерстве с ботнетами и способны полностью вывести из строя веб-сайт или онлайн-сервис. Они делают это, подавляя цель потоком активности сотен или даже тысяч устройств в ботнете.
В отличие от других атак, которые обычно направлены на то, чтобы позволить злоумышленнику получить доступ, DoS-атаки не приносят прямой выгоды лицу, ответственному за атаку. В некоторых случаях кибератакам кажется, что достаточно простого отказа в обслуживании. Однако, если целевой ресурс принадлежит конкурирующему бизнесу, DoS-атаки могут принести пользу злоумышленнику, разрушив репутацию его конкурента и его способность предоставлять услуги.
Другая причина, по которой злоумышленник может использовать DoS или DDoS, — это , чтобы сделать систему уязвимой для другой атаки .Переведя систему в автономный режим, кибератак может использовать захват сеанса, например, чтобы получить некоторую награду.
Существует несколько различных типов DDoS- и DoS-атак, включая атаки TCP SYN flood, smurf-атаки, слезоточивые атаки и атаки ping of death. Ботнеты, которые были описаны ранее в этом руководстве, также считаются типом DDoS-атак.
- Атаки TCP SYN Flood: Для выполнения атаки TCP SYN Flood, кибератак использует буферное пространство во время квитирования инициализации сеанса протокола управления передачей (TCP).Используя буферное пространство, злоумышленник может заполнить очередь обработки системы жертвы массой запросов на соединение, но не отвечает на ответы на запросы. В результате время ожидания системы истекает, и перегрузка очереди подключений вызывает сбой.
Вы можете защитить себя от атак TCP SYN flood, разместив серверы за брандмауэром, настроенным для предотвращения пакетов SYN, и увеличив емкость очереди подключений, уменьшив тайм-аут для активных подключений. - Атаки Smurf: Атаки Smurf включают использование протокола управляющих сообщений Интернета (ICMP) и подмены IP-адреса для наводнения сети жертвы трафиком.Этот тип атаки использует эхо-запросы ICMP, которые исходят с поддельного адреса жертвы.
В качестве примера, если целевой IP-адрес был 10.0.0.10, тогда кибератак должен создать поддельный эхо-запрос ICMP с того же номера адреса и отправить запрос на широковещательный адрес 10.255.255.255. Затем этот ICMP-запрос будет отправлен на все IP-адреса в диапазоне, но все ответы будут перенаправлены на целевой адрес. Это, в свою очередь, перегружает сеть. Smurf-атаки могут повторяться и даже автоматизироваться, что приводит к массовой перегрузке сети.
Чтобы защитить себя от атак smurf, вам необходимо отключить IP-направленные широковещательные передачи вашего маршрутизатора. В качестве альтернативы вы можете настроить конечные системы, чтобы они не отвечали на пакеты ICMP, исходящие от широковещательных адресов. - Пинг смертельных атак: Пинг смертельной атаки проверяет систему жертвы с размером IP, превышающим максимальное количество байтов. Для этого используются IP-пакеты. Однако IP-пакеты такого размера не допускаются, поэтому кибератак должен разделить IP-пакет.Когда система жертвы восстанавливает пакет, возможно, произойдет сбой.
Использование эффективного межсетевого экрана для проверки максимального размера фрагментированных IP-пакетов может предотвратить эти типы атак. - Атаки типа «капля»: Атака «капля» заставляет поля длины и смещения фрагментации последовательных IP-пакетов перекрывать друг друга на целевом хосте. Во время этого процесса целевая система безуспешно пытается восстановить пакеты, и система падает под давлением.
Для пользователей важно иметь патчи для защиты от этого типа DoS-атак. Если у вас нет исправлений, обязательно отключите SMBv2 и заблокируйте порты 445 и 139.
Средства обнаружения DDoS-атак:
Вернуться к началу
Полезные инструменты обнаружения кибератак
При рассмотрении того, как предотвратить кибератаки, внедрение правильного программного обеспечения имеет первостепенное значение. Выше я рекомендовал лучший инструмент или инструменты для каждого типа кибератак.В этом разделе мы рассмотрим эти решения и то, как они работают для обеспечения безопасности.
1. Менеджер событий безопасности SolarWinds
SolarWinds SEM — отличный инструмент для обнаружения атак SQL-инъекций и проактивной защиты сервера базы данных от них . В нем есть диспетчер корреляции, который выявляет подозрительные действия, предупреждает вас о них и автоматически реагирует на потенциальные атаки в соответствии с предварительно настроенными правилами событий.Используя предварительно заполненный список векторов, часто встречающихся в атаках с использованием SQL-инъекций, правила могут эффективно и быстро обнаруживать и останавливать эти атаки.
Когда киберпреступники пытаются выполнить атаку с использованием SQL-инъекции, они обычно генерируют ошибки SQL. SEM выявляет эти ошибки и помечает их в режиме реального времени и предупреждает вас о необычных ссылках на системные таблицы, сделанные учетными записями, не внесенными в белый список . Это действие может предвещать потенциальную атаку с помощью SQL-инъекции, поэтому очень важно быть в курсе.
Атакис использованием SQL-инъекций часто ограничивают злоумышленника извлечением информации из одной строки для каждого запроса из-за ограничений, связанных с исходным запросом. Такое поведение может привести к большому смещению. SEM отслеживает и отмечает необычно высокие смещения, а позволяет вам установить фильтр активности правил, который сортирует недавние и исторические события на сервере, вызвавшие активацию правила . С помощью диспетчера корреляции журналов SEM вы можете искать и сортировать данные журналов, используя их для детализации и обнаружения определенных действий.Вы также можете использовать шаблоны для создания правил с помощью встроенной утилиты создания правил.
SolarWinds SEM помогает предотвратить фишинговые и целевые фишинговые атаки, отслеживая учетные записи пользователей, журналы и системные изменения. Он обеспечивает мониторинг целостности файлов, который позволяет администраторам заранее обнаруживать любые изменения, внесенные в папки, файлы и параметры реестра. . Когда модификация вызывает подозрение, оповещения о кибербезопасности автоматически доставляются соответствующим членам ИТ-группы.Чтобы сэкономить время, вы также можете автоматизировать реакцию SEM на определенные события, установив собственные правила. Инструмент распознает изменения в шаблонах использования учетной записи в режиме реального времени, доставляя уведомления, поэтому вы можете мгновенно реагировать на любую необычную активность.
SEM также служит решением для обнаружения и предотвращения вредоносных программ, предлагает расширенные возможности защиты от программ-вымогателей . С помощью сложных утилит SIEM этого инструмента вы можете реализовать передовые методы безопасности и оптимизировать обнаружение программ-вымогателей.С помощью SEM обнаружение программ-вымогателей начинается с эффективных процессов управления привилегированным доступом, которые не позволяют программам-вымогателям и другим кибератакам получить доступ к привилегированным или административным учетным записям. SEM отслеживает активность пользователей, обнаруживая и отмечая любые изменения в расширениях файлов, их расположении и разрешениях.
Самая заметная функция SEM для защиты от программ-вымогателей — это регулярно обновляемый информационный канал , созданный сообществом. В этом канале перечислены все известные вредоносные хосты, IP-адреса и векторы атак, поэтому ваши данные журнала могут анализироваться вместе с ними, что облегчает быстрое обнаружение атак.
В решении также есть инструмент обнаружения ботнетов, который, в отличие от традиционных детекторов ботнетов, включает встроенный механизм корреляции, способный выявлять ненормальное поведение и шаблоны в сетевом трафике. Эта информация — бесценный ресурс для предотвращения атак ботнетов.
SEM собирает журналы данных из нескольких источников, включая серверы, решения IAM, конечные точки, IDS / IPS и межсетевые экраны . Эти журналы затем синтезируются, чтобы улучшить ситуационную осведомленность приложения во всей сети.Как и в случае с другими угрозами и типами атак, SEM использует списки известных злоумышленников, созданные сообществом, для обнаружения ботов. Он также позволяет вам создавать свои собственные политики и может автоматически выполнять блокировку IP, отключение учетной записи и оповещение.
SEM использует процессы мониторинга файлов журналов, предупреждений и активного реагирования для уменьшения угрозы XSS-атак. Объединение журналов в единое унифицированное представление помогает ИТ-отделам и администраторам полностью контролировать свои данные журналов. Благодаря объединению всех журналов безопасности, систем, устройств и приложений, связанных с безопасностью, в один инструмент, SEM значительно улучшает возможности обнаружения угроз .Что наиболее важно, он предлагает надежный способ устранения XSS-атак и других киберугроз.
SEM поставляется с предварительно настроенными правилами, созданными экспертами SolarWinds для выявления и предотвращения XSS. Он делает это, ссылаясь на список распространенных векторов и постоянно отслеживая их в ваших журналах. Возможности средства предотвращения XSS будут предупреждать вас об атаках в режиме реального времени, и вы можете настроить автоматические ответы для отключения или остановки определенных операций.
SEM также эффективен для обнаружения и предотвращения DDoS-атак . Непрерывный мониторинг журналов позволяет вам быть в курсе того, что происходит в вашей среде, в режиме реального времени. Если возникнут какие-либо проблемы, вы можете отреагировать с помощью корреляции на основе правил, созданной для быстрой реализации — больше никаких пользовательских сценариев. Предупреждения защиты и механизмы автоматического реагирования защищают вашу систему, даже когда вас нет за рабочим столом.
Перед многими атаками на систему безопасности учетные данные украдены или разрешения увеличены. Именно так многие кибератаки получают доступ в первую очередь, поэтому управление привилегированными учетными записями является ключом к защите безопасности вашего бизнеса.В SEM есть инструмент мониторинга привилегированных учетных записей (PAM), который позволяет отслеживать, отслеживать и сообщать о поведении привилегированных пользователей.
PAM был разработан, чтобы помочь вам в реализации политики наименьших привилегий, которая сокращает ненужное распределение разрешений и обеспечивает максимально ограниченный доступ к конфиденциальной информации. Это также дает вам представление о том, как ведут себя текущие привилегированные учетные записи, чтобы вы могли расследовать любую необычную активность.
Доступна 30-дневная бесплатная пробная версия SEM.
2. Менеджер исправлений SolarWinds
Успешные кибератаки обычно вызваны эксплуатируемыми уязвимостями. Плохое управление исправлениями может создать множество уязвимостей в вашем бизнесе, поэтому важно иметь продуманную стратегию управления исправлениями. SolarWinds Patch Manager — чрезвычайно полезный инструмент, потому что, сохраняя исправления и безопасность вашего бизнеса, он может предотвратить разовые кибератаки, которые позволяют злоумышленнику получить доступ к вашей системе.
Patch Manager помогает вам управлять, диагностировать и устранять проблемы с продуктами Microsoft с помощью агента обновления Windows . Это означает, что вы можете планировать исправления и сообщать о статусе исправлений и инвентаризации, что не может сделать Windows Server Update Services в одиночку. Вы можете просмотреть подробную информацию о сторонних программных исправлениях и состоянии конечных точек, управляемых SCCM.
Patch Manager также включает предварительно созданные и протестированные пакеты , устраняя необходимость в обширных исследованиях, написании сценариев, упаковке и тестировании исправлений.С помощью этих пакетов сторонних приложений, созданных и протестированных экспертами SolarWinds, вы можете значительно сэкономить время.
Доступна для загрузки 30-дневная бесплатная пробная версия Patch Manager.
3. Монитор идентификации SolarWinds
Это фантастический инструмент для обеспечения конфиденциальности и безопасности вашей электронной почты, защищающий вас от целевых фишинговых атак. Identity Monitor позволяет вам проверить вашу уязвимость, просто введя свои данные на веб-сайт, вы мгновенно получите представление о прошлых утечках данных, с информацией об уровне серьезности, данных, вовлеченных в нарушение, и типе нарушения.Инструмент может постоянно отслеживать нарушения и уведомлять вас, чтобы вы могли действовать до того, как будет нанесен ущерб . Вы даже можете произвести сброс пароля через программу.
Identity Monitor позволяет вам бесплатно проверить открытость вашего адреса электронной почты.
Вернуться к началу
4. Анализатор журнала событий ManageEngine
Это еще один эффективный инструмент для обнаружения SQL-инъекций и предотвращения кибератак. EventLog Analyzer ищет уязвимости и потенциальные утечки данных, запуская отчеты SQL-инъекций для веб-серверов Apache, веб-серверов IIS, серверов баз данных Oracle и серверов Microsoft SQL .Он предоставляет готовые правила корреляции SQL-инъекций для событий, обнаруженных на веб-сервере, событий базы данных, инцидентов безопасности Oracle, инцидентов безопасности Microsoft SQL, а также событий веб-серверов Apache и IIS.
Доступна 30-дневная бесплатная пробная версия EventLog Analyzer.
5. Malwarebytes
Malwarebytes — популярная программа, которая выполняет глубокое сканирование на наличие вредоносных программ, эффективно удаляет все экземпляры и предоставляет ежедневные обновления. Malwarebytes Premium может удалять все сложные угрозы, включая шпионское ПО, и круглосуточно и без выходных.
Эта программа имеет простой в использовании интерфейс и модуль защиты от эксплойтов для защиты уязвимых систем и приложений от атак эксплойтов. Он может защитить вас от вредоносных веб-сайтов, не позволяя им получить доступ, и останавливает программы-вымогатели до того, как данные будут взяты в заложники. Одним из наиболее заметных преимуществ этого программного обеспечения является то, что оно хорошо работает вместе с другими антивирусными программами.
6. pfSense
Эта популярная программа сетевой безопасности с открытым исходным кодом может защитить вас от многих DoS- и DDoS-атак. PfSense позволяет вам безопасно подключаться к облаку, расширяя ваши приложения и возможности подключения для всех ваших пользователей, независимо от того, где они находятся, через Microsoft Azure и Amazon AWS.
Эта программа очень рентабельна, хотя важно отметить, что программы с открытым исходным кодом не особенно хорошо подходят для использования в бизнесе. Однако, если вы поклонник гибкости, которую предлагает программное обеспечение с открытым исходным кодом, настоятельно рекомендуется использовать pfSense.
Лучший инструмент предотвращения кибератак
Хотя все инструменты, упомянутые в этом руководстве, предлагают надежные решения для предотвращения и обнаружения кибератак, ни один из них не является столь же универсальным и всеобъемлющим, как SolarWinds SEM.SEM включает в себя впечатляющий набор сложных утилит, предназначенных для защиты вас и вашего бизнеса от атак ботов, атак межсайтового скриптинга, DoS- и DDoS-атак, целевых фишинговых атак и многого другого. Это решение не только достаточно продвинуто для использования на корпоративном уровне, но и доступно для начинающих.
SEM — это универсальная программа обеспечения ИТ-безопасности. Он имеет динамическую панель мониторинга, где данные представлены в виде линейных графиков, круговых диаграмм и гистограмм, среди прочего, что упрощает чтение и интерпретацию. Одним из преимуществ использования этого программного обеспечения является его совместимость с другими решениями SolarWinds, включая Patch Manager и Identity Monitor . Это позволяет расширить вашу сеть и решение для ИТ-безопасности, сделав его более мощным, гибким и универсальным.
.