Реализация мер по защите цифровых систем, сетей и программных приложений от цифровых атак. Такие атаки обычно направлены на получение доступа к конфиденциальной информации, ее изменение и уничтожение, на вымогательство у пользователей денег или на нарушение нормальной работы организаций.
Реализация мер эффективной кибербезопасности в настоящее время является достаточно сложной задачей, так как сегодня существует гораздо больше устройств, чем людей, а злоумышленники с каждым днем становятся все более изобретательными, и характер угроз меняется все быстрее.
Пользователи должны понимать и соблюдать основные принципы кибербезопасности. К данным принципам можно привести такие примеры, как выбор надежных паролей, внимательное отношение к вложениям в электронных письмах и резервное копирование данных.
Согласно законодательству Туркменистана, в каждой организации должен быть разработан комплекс мер по обеспечению кибербезопасности, которые должны быть утверждены руководством и использоваться сотрудниками в качестве руководства. Данное руководство должно содержать информацию о том, как обнаруживать атаку, защищать системы, выявлять и предотвращать угрозы, а также информацию про восстановление работоспособности системы после осуществления атаки. Получение сотрудниками образования на высоком уровне в области кибербезопасности вносит большой вклад в предотвращении таких угроз.
Технологии являются важнейшим элементом, предоставляющим организациям и отдельным пользователям инструменты, необходимые для защиты от киберугроз. Основные средства, которые необходимо защитить, являются оконечные устройства, то есть, компьютеры, мобильные телефоны, “умные” устройства, а так же сети и облачные системы. К наиболее распространенным технологиям, используемым для защиты перечисленных средств, относятся межсетевые экраны нового поколения (Next Generation Firewall), антивирусы, решения для защиты от вредоносного ПО, а так же решения для защиты электронной почты.
Успешные меры по обеспечению кибербезопасности осуществляются в виде “многоуровневой защиты”, охватывающей компьютеры, сети, программы или данные. Сотрудники, технологии и деятельность, направленная на обеспечение кибербезопасности, все вместе, дополняя друг друга могут предотвратить киберугрозы.
Под защитой критической инфраструктуры понимаются системы автоматического управления производственными и технологическими процессами критических объектов страны, а также совокупность систем информационных технологий и каналов связи, предназначенных для обеспечения государственного управления, обороноспособности, безопасности и порядка. Лица владеющие критическими информационными объектами называют субъектами критических информационных инфраструктур. Оценка критических объектов осуществляется по следующем принципам:
1) Социальная значимость - возможный ущерб для жизни или здоровью людей, объектам, обеспечивающим жизнедеятельность населения, нарушение или прекращение деятельности транспортных и коммуникационных систем, а также возможная длительная недоступность государственных услуг для лиц, пользующихся такими услугами;
2) Политическая значимость - ущерб, который может быть нанесен внутренним и внешним политическим интересам Туркменистана;
3) Экономическая значимость - прямой и косвенный ущерб, который может быть нанесен бюджету Туркменистана и субъектам критических информационных инфраструктур;
4) Экологическая значимость — ущерб, который может быть нанесен окружающей среде;
5) Ущерб, который может быть нанесен критическим объектам информационной инфраструктуры, обеспечивающих защиту государства, безопасность страны и верховенство закона.
Способность выполнять поставленные задачи в установленных сроках и рамках, в установленном порядке и условиях применения. Надежность систем, как комплексное понятие, включает в себя следующие понятия:
Бесперебойная работа системы - возможность непрерывно поддерживать рабочее состояние системы в течение заданного периода времени;
Поддержание системы в активном состоянии - возможность поддерживать исправность и равномерность работы системы в течение заданного периода времени;
Ремонтопригодность - в случае необходимости, возможность быстрого устранения существующих дефектов системы, а также возможность загрузки и установки обновлений программного обеспечения;
Резервирование системы - возможность восстановить работу системы после сбоев в системе по различным причинам; Для определения надежности информационных систем необходимо определить составляющие их компоненты. Информационные системы состоят из 3-х основных компонентов:
В современных информационных технологиях необходимо последнюю строку разделить на две части и изучить их отдельно:
Между этими двумя частями существует значительная разница, в том что аппаратное оборудование подвергается физическому воздействию. Могут быть различные воздействия на аппаратное оборудование, такие как защита объектов, где расположены системы, воздействие окружающей среды, воздействие природных и техногенных явлений и тому подобные. Программное обеспечение, с другой стороны, изолировано от физической среды и не может пострадать от физических воздействий, упомянутых выше. Это искусственно созданная логическая среда и она является очень сложной.
Это совокупность причин и условий, представляющие угрозу нарушения информационной безопасности, которое направлено на информационную инфраструктуру организаций, компьютерное оборудование, мобильные средства связи и другие технические средства.
Инцидент, связанный с нарушением или прерыванием работы объектов информационной инфраструктуры, систем электросвязи, обеспечивающих взаимодействие между ними, а также нарушение безопасности информации, обрабатываемой данными объектами.
2FA (Двухфакторная аутентификация) - это дополнительный метод безопасности, предназначенный для распознавания и защиты учетной записи пользователя при входе в любую систему. Распознавание и защита достигается не только путем ввода логина и пароля пользователя, но и путем ввода кода, который знает только владелец учетной записи.
Это файлы, содержащие информацию работы сервера или компьютера, в которые заносятся действия пользователя или программы.
Слово Botnet (ботнет) образовано от слов «robot» (робот) и «network» (сеть). Ботнет - это сеть, которая состоит из компьютеров, мобильных телефонов, планшетов и даже используемые в домах холодильников или пылесосов зараженные вредоносными вирусами, то есть всех устройств, подключенных к Интернету. Киберпреступники используют специальное программное обеспечение, чтобы обойти защитные средства этих устройств, а также подключить их к единой сети и удаленно контролировать.
Это технология отправки и получения электронных сообщений и службы, предоставляемые данной технологией. Технология электронной почты помимо обычного текста позволяет отправлять и получать файлы.
Характерные признаки компьютерного вируса или атаки, используемые для их обнаружения. Большинство современных антивирусов, сканеров для выявления уязвимостей и систем обнаружения вторжений (IDS) в своей работе используют сигнатуры, взятые из файла вируса или пакетов запросов.
Это программно-аппаратный комплекс, который развертывают в орагнизациях и подключают к центру мониторинга информационной безопасности (SOC-центр). Sensor box отправляет сообщение устройствам центра мониторинга информационной безопасности (SOC-центр) о киберугрозах, происходящих кибератаках, выявленных вирусах и аналогичных киберинцидентах, обнаруженные в корпоративных сетях.
Шифрование (на английском “encryption”) – это защита информации от несанкционированного просмотра или использования, которая основана на методе преобразования информации в зашифрованный текст. Расшифрование текста, то есть восстановление первоначального вида текста, возможно только с помощью ключа, использованного при шифровании этой информации.
IoT (на английском “Internet of Things” - Интернет вещей) - это сеть подключенных к Интернету вещей, которые окружают нас. Если автомобиль, утюг, пылесос, электрический чайник и другие устройства, используемые в жизни человека, подключены к Интернету, их можно назвать IoT.
Обновление — это обновление программного обеспечения до последней версии. Обновление обычно выпускается в виде «патча», то есть части информации, которая вносит изменения в исходный код программы. Патчи используются для исправления ошибок кода и добавления новых функций в программное обеспечение.
Воздействие программы и программно-аппаратных средств, нацеленные на нарушение и(или) остановку работы объектов информационной инфраструктуры, систем электросвязи, обеспечивающих взаимодействие этих объектах, ставящие под угрозу безопасность данных, обрабатываемых на этих объектах. Сегодня количество и типы кибератак увеличиваются день ото дня, а условия для их реализации упрощаются. Ниже приведены наиболее распространенные типы кибератак и их особенности.
DoS ( от англ. Denial of Service, атака типа «отказ в обслуживании») - это некоторый вид злонамеренной деятельности, ставящей своей целью довести компьютерную систему до такого состояния, когда она не сможет обслуживать пользователей или правильно выполнять возложенные на нее функции. Атака осуществляется посредством создания большого количества запросов с одного источника (хоста) и серьезной нагрузки на технику, чаще всего на крупные сервера.
Существуют ограничения на серверы для приложений, которые могут работать одновременно. Каналы связи, соединяющие сервер с Интернетом, также имеют ограниченную пропускную способность. Соответственно, сервер не может обрабатывать большое количество одновременных запросов, в то время как отправляющая сторона пытается использовать полосу пропускания интернет-соединения атакующего сервера и объем памяти. Из-за такого «веса» серверу приходится отказываться обслуживать обычных пользователей. Конечная цель - вывести систему из строя и нанести ущерб владельцу системы.
DDoS (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании») - это атака, при котором отправляются одновременные запросы с большого количества IP-адресов. Характерная особенность, присущая данной атаке наносит больший урон атакуемой системе. Слово «распределенная» в названии атаки также происходит из этого, то есть атака распределяется на устройства, используя их IP-адреса. Как правило, злоумышленник отправляет такие запросы из нескольких взломанных систем. Во многих случаях владельцы этих устройств не знают, что такие сообщения отправляются от их имени. DoS- и DDoS-атаки могут длиться от нескольких минут до нескольких дней.
Это использование слабостей человека для незаконного получения личной информации пользователя или для несанкционированного доступа к его или ее устройству для загрузки вредоносного программного обеспечения. Например, атака осуществляется путем сбора информации о сотрудниках целевой организации с помощью простого звонка через мобильное устройства или входа в офис в качестве сотрудника этого учреждения. Таким образом, можно привести пример того, как обманом получить необходимую информацию, позвонив, сотруднику организации и сказав, что это звонок со службы технической поддержки и что ему нужен его пароль, чтобы устранить небольшое нарушение работы компьютерной сети. Правонарушители часто используют опыт социальной инженерии, так как, используя этот метод, сбор секретной информации проще, чем взлом систем с помощью компьютерных атак.
Фишинг (англ. phishing) — один из видов атак с использованием социальной инженерии. Фишинг - это процесс распространения поддельных писем, которые похожи на электронные письма из надежного источника. Как правило, эти действия обычно осуществляются с помощью электронной почты. Целью таких действий является кража личной и конфиденциальной информации (информации о кредитной карте или учетной записи) или установка вредоносного программного обеспечения на устройство жертвы. Фишинг - это наиболее распространенный вид кибератак, и каждый пользователь должен знать об этом, чтобы обеспечить необходимую защиту.
При осуществлении фишинга сначала отправляется поддельное письмо чтобы ввести пользователя в заблуждение. Это письмо выглядит как письмо, которое пришло с надежного источника. Если пользователь поверит этому сообщению и откроет его, то пользователю будет предложено войти в заранее подготовленный поддельный веб-сайт, войдя в этот веб-сайт пользователь позволяет получить доступ к своей личной и конфиденциальной информации или загрузить вредоносное программное обеспечение на свое устройство. Один из способов защитить учреждения от фишинговых атак это повысить знания сотрудников в области кибербезопасности.
Является одним из наиболее распространенных способов взлома веб-сайтов и приложений, работающих с базами данных, основанный на внедрении (инъекции) SQL-кода в запрос для сайта и приложений.
Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения команд на атакуемом сервере.
Это один из способов нарушить нормальную работу сайтов, написанных на языке PHP, внедрив посторонний php-код в атакуемый сайт.
Это внедрение вредоносного кода на любую страницу сайта и взаимодействии этого кода с веб-сервером злоумышленника если пользователь откроет эту страницу. Таким образом, пользователю также необходимо в некоторой степени «участвовать» для того, чтобы провести данную атаку. Вредоносный код, который может быть вставлен в страницу сайта, как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя. Межсайтовый скриптинг может быть также использован для проведения DoS-атак.
Метод, используемый для имитации другого пользователя с целью обмана сетевого устройства или пользователя. Примером атаки спуфинга является спуфинг IP, DNS или электронной почты.
При осуществлении IP – спуфинга, в отправленных хакером IP-пакетах указывается чужой IP-адрес, таким образом, при отправке ответного сообщения отправляющей стороне эти сообщения направляются на устройство жертвы, а не хакеру. Соответственно, интернет-пользователь, не подозревающий об этих действиях, видит сообщения, приходящие с незнакомых адресов.
DNS - спуфинг - это изменение настроек DNS-сервера и перенаправление доменного имени на IP-адрес хакера.
Cпуфинг электронной почты заключается в подделке заголовка сообщения, чтобы скрыть его источник.
Man-in-the-middle («Человек посередине») - это кража третьей стороной обмениваемую информацией между двумя сторонами, подключившись к каналу связи. Для этого можно изменить параметры DNS-сервера, файла hosts или можно использовать другие похожие методы. Например, когда отправитель входит на веб-сайт банка и использует услугу «интернет-банкинг», вся информация проходит через узел третьей стороны. Таким образом, третья сторона сможет украсть всю информацию о пользователе, включая имя, пароль, PIN-код пользователя и прочие данные.
Дефейс - это форма кибератаки, во время которой главная страница или другая важная страница веб-сайта заменяется правокационной и неприемлемой страницей (угрожающей, дискредитирующей, рекламной, предупреждающей и т. д.). В большинстве случаев после успешной атаки доступ к другим страницам сайта блокируется злоумышленниками или информация на сайте полностью уничтожается.
Эксплойт (англ. exploit, «эксплуатировать») - это программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на систему. Целью атаки является захват контроля над системой (увеличить права в системе) или нарушить ее нормальную работу.
В зависимости от метода получения доступа к уязвимому программному обеспечению эксплойты подразделяются на удалённые и локальные. Удалённый эксплойт работает через сеть и использует уязвимость без какого-либо предварительного доступа к уязвимой системе. В свою очередь, локальный эксплойт запускается непосредственно в уязвимой системе, требуя предварительного доступа к ней. Обычно локальный эксплойт используется для получения прав суперпользователя в системе.
Атака, осуществляемая путем подбора всех возможных комбинаций пароля по очереди в надежде найти пароль учетной записи (аккаунта). Программное обеспечение, разработанное специально для проведения таких атак, используется в качестве инструмента, которое совершает попытки до тех пор, пока не будет найден пароль. Таким образом, использование не только букв или цифр, но и заглавных букв и специальных символов при составлении паролей усложняет работу инструментов, выполняющих брутфорс атаку, и снижает вероятность успешного применения данной атаки.
Пентест (“Penetration testing”- тестирование на проникновение) - цель этого теста проверить безопасность и надежность информационной системы, выявить и устранить уязвимости системы. Для этого делаются попытки обойти защиту системы с помощью специального программного обеспечения. Пентест помогает получить подробную информацию об имеющихся уязвимостях в информационной системе.
Malware (вредоносное программное обеспечение) - это любой код, написанный с определенной целью, чтобы повредить, раскрыть информацию, поставить под угрозу безопасность или стабильность системы. Вредоносное ПО включает в себя множество типов вредоносных программ: программы-вымогатели (ransomware), шпионское ПО (spyware), рекламное ПО (adware), вирусы, компьютерные черви, троянские кони, бэкдоры, RAT, руткиты.
Вредоносное ПО, которое обычно шифрует информацию жертвы на его же компьютере с помощью надежного шифрования. Затем требуется оплата цифровой валютой (криптовалютой), чтобы вернуть пользователю контроль над захваченными данными.
Шпионское ПО - это тип вредоносного программного обеспечения, которое отслеживает действия пользователей и передает информацию удаленному киберпреступнику. Шпионская программа применяется рекламными и маркетинговыми службами для сбора информации о местонахождении клиентов. Злоумышленники также могут применять шпионское ПО для кражи информации учетной записи жертвы или используют инструменты сбора данных для нанесения вреда пользователям.
Программное обеспечение, используемое для отображения рекламы на устройстве пользователя. Говоря другими словами, так называемый «рекламный вирус» - это программное обеспечение, которое является одним из нежелательных программ, которые по возможности нельзя загружать и устанавливать. Рекламное ПО обычно загружается на устройство без разрешения пользователя. Эта программа мешает пользователю спокойно работать в Интернете, показывая слишком много рекламы, баннеров или автоматически запуская рекламные видеоролики. Основная цель рекламного ПО - это приносить финансовый доход создателям.
Существует два основных типа рекламных вирусов в зависимости от способа проникновения на компьютер пользователя, а именно рекламное ПО устанавливается на устройство пользователя вместе с бесплатной или условно-бесплатной программой или через зараженные сайты.
Это секретная самораспространяющаяся часть программного обеспечения или программы, которая распространяется посредством заражения, то есть путем размещения одной копии и внедрения в другую программу. Вирус не может работать сам по себе и требует запуска внедренной программы, чтобы вирус стал активным.
CVE (Common Vulnerabilities and Exposures, "Распространенные уязвимости и риски")- является базой данных общеизвестных уязвимостей кибербезопасности.
До 1999, когда CVE был запущен компанией MITRE, было сложно передавать информацию об уязвимостях в продуктах между разными базами. Каждый производитель решений по поиску дефектов безопасности имел свою базу со своим способом именования и набором параметров уязвимости. Для решения этой проблемы компанией MITRE и был создан CVE.
Задача программы CVE заключается в выявлении, определении и классификации публично раскрытых уязвимостей кибербезопасности. База CVE была создана для упрощения обмена информацией об известных уязвимостях между организациями. Идентификаторы CVE дают специалисту по кибербезопасности возможность легко находить информацию о недостатках в различных авторитетных источниках, используя один и тот же идентификатор уязвимости.
Каждая запись CVE состоит из следующих разделов: CVE ID, ссылка, описание. CVE ID начинается с префикса CVE и записывается с указанием года, в котором было сообщено об уязвимости и номера, присвоенного CNA (CVE Numbering Authorities).
CNA – это разработчики и поставщики ПО, исследовательские группы, занимающиеся поиском уязвимостей и другие организации, уполномоченные добавлять новые записи в CVE. Основным CNA является MITRE, однако сейчас статус CNA есть у многих организаций из разных стран мира. Для того чтобы компания могла стать CNA у нее должна быть общедоступная политика раскрытия информации об уязвимостях и публичный ресурс для публикации информации о новых дефектах безопасности.
А синтаксис идентификационного номера CVE ID выглядит следующим образом: Префикс CVE - год обнаружения уязвимости - порядковый номер уязвимости.
Порядковый номер - это 4 и более цифр. Синтаксис идентификатора был изменен в 2015 году. Изначально в качестве порядкового номера использовалось только 4 цифры, то есть максимальное значение 9999 уязвимостей, обнаруживаемых в год. Сейчас обычно используется 7 цифр.
Рассмотрим пример. В конце 2021 года была выявлена уязвимость в Log4j. Она позволяет запускать вредоносный код в уязвимых системах. Ей был присвоен идентификационный номер CVE-2021-44228.
Если уязвимость попала в базу CVE, это означает, что для нее уже готово решение в виде патча и рекомендаций от производителя ПО. Поэтому самым простым способом поддерживать безопасность является своевременное скачивание обновлений.
Недостаток объявляется CVE, когда он соответствует трем конкретным критериям:
CVE является важным и необходимым элементом на пути к совершенствованию продуктов и поддержанию защиты пользователей.
CVSS (Common Vulnerability Scoring System, Общая система оценки уязвимостей) - это открытый стандарт для оценки степени опасности уязвимостей в продуктах. Данный стандарт предлагает простой инструментарий для расчета числового показателя по десятибалльной шкале, который позволяет специалистам по безопасности оперативно принимать решение о том, как реагировать на ту или иную уязвимость. Чем выше значение, тем более оперативная реакция требуется.
В 2005 году состоялась публикация первой версии стандарта, в разработке которой участвовали эксперты различных организаций (CERT/CC, Cisco, DHS/MITRE, eBay, IBM Internet Security Systems, Microsoft, Qualys, Symantec). Далее стандарт стал поддерживаться в рамках проекта FIRST (Forum of Incident Response and Security Teams). В 2007 году вышла вторая версия стандарта, в июне 2015 года - третья CVSSv3. Последней версией CVSS является 3.1, выпущенная в июне 2019 года.
Оценки рассчитываются по специальным формулам на основе нескольких метрик и приблизительно оценивают насколько легко можно внедрить в продукт эксплойт, то есть специально написанный код.
Согласно стандарту CVSS, уязвимости оцениваются на основании ряда метрик. Можно выделить три типа метрик:
1) Базовые метрики. Сюда относятся общие метрики, описывающие уязвимость и не зависящие от времени или конкретного окружения. Они делятся на две группы:
2) Временные метрики описывают внешние факторы, которые могут измениться с течением времени. Например, наличие доступного эксплойта или, наоборот, патча.
3) Метрики окружения на основную оценку уязвимости никак не влияют, но позволяют определить ее опасность для конкретной IT-среды. В набор метрик окружения входят базовые метрики с поправкой на условия конкретной среды. Так, если для эксплуатации уязвимости в целом требуются минимальные привилегии, то в конкретной организации доступ к уязвимой системе могут иметь только администраторы. Также к метрикам окружения относятся метрики, описывающие то, насколько опасны для конкретной организации возможные последствия эксплуатации уязвимости. Например, повлияет ли на операции компании отключение сервера или у нее есть запасной сервер, на который легко переключиться в случае инцидента.
CVSS вычисляется на основании метрик с помощью набора формул. Она может принимать значение от 0 до 10, где:
Уровень опасности: критический
Уязвимости, оцениваемые как критические, обычно имеют большинство следующих характеристик.
При обнаружении критических уязвимостей рекомендуется как можно скорее установить исправление или выполнить обновление, если нет возможности принять других мер по смягчению последствий. Например, смягчающим фактором может стать недоступность развертывания системы из Интернета.
Уровень опасности: высокий
Уязвимости, попадающие в диапазон баллов, характеризующих высокий уровень опасности, обычно имеют некоторые из следующих характеристик.
Уровень опасности: средний
Уязвимости, попадающие в диапазон баллов, характеризующих средний уровень опасности, обычно имеют некоторые из следующих характеристик.
Уровень опасности: низкий
Уязвимости низкого уровня серьезности обычно не влияют на деятельность системы. Для использования таких уязвимостей, как правило, требуется локальный или физический доступ к системе.
English
Türkmençe