В современном цифровом мире киберугрозы эволюционируют настолько быстро и приобретают такие масштабы, что специалисты и методологи информационной безопасности вынуждены регулярно пересматривать концепции и парадигмы защиты информации. Периодически, раз в 2-3 года, на рынке средств защиты информации появляется новый класс продуктов, обещающий защиту от новейших киберугроз: так было с Next Generation Firewall (межсетевые экраны нового поколения), с системами DLP (решения для предотвращения утечек данных), с SIEM-системами и далее с решениями по защите облачных платформ, системами выявления аномалий, платформами для работы с данными киберразведки.
Массовый переход сотрудников на удаленную работу во время пандемии сопровождался беспрецедентным ростом количества личных устройств (смартфонов, ноутбуков), подключенных к корпоративным сетям. Действительно, далеко не все компании заранее озаботились закупкой резервных устройств, которые можно было бы оперативно выдать сотрудникам для удаленной работы. При таком подходе, когда личные и зачастую неконтролируемые устройства подключаются к корпоративным ресурсам (таким как VPN-шлюзы, веб-сервисы, электронная почта и т.д.), киберриски возрастают многократно.
В современном мире всеобъемлющей цифровизации и диджитализации большинства бизнес-процессов обмен информацией играет ключевую роль, будь то пересылка файлов по электронной почте, предоставление онлайн-сервиса заказчикам, совместное использование облачной инфраструктуры или передача информации через VPN-туннель между компаниями-партнерами. Во всех случаях, как правило, речь идет о необходимости согласовать единый формат обмена и защиты информации, заключить юридически значимые договоренности о правилах обмена и соблюдении конфиденциальности, поддерживать выбранный способ обмена и корректно завершить взаимодействие по достижении цели.
Процессы цифровизации в последние годы затронули множество секторов экономики, и, в частности, современное производство, добычу полезных ископаемых, энергетику, транспорт, медицину уже невозможно представить без автоматизированных систем управления технологическими процессами (АСУТП, англ. Industrial Control Systems, ICS), SCADA-систем, программируемых логических контроллеров (ПЛК), распределенных систем управления. Данные средства являются составными частями OT-инфраструктуры (от Operational Technology), которые могут взаимодействовать с классической IT-инфраструктурой и являться объектами кибератак.
Ряд резонансных киберинцидентов, произошедших в последнее время (такие как атаки на ИТ-гигантов SolarWinds и Kaseya), поставили мировое сообщество перед фактом: невозможно однозначно доверять даже самым проверенным и изученным информационным системам. Причина заключается в возможности проведения атак на цепочки поставок (англ. "supply chain attacks") путем несанкционированного внедрения атакующими вредоносного кода и/или недекларированных возможностей в программное и/или аппаратное обеспечение, которое поставляется третьим лицом (ИТ-вендором, производителем, сторонними разработчиками).
Новости об обнаружении опасных уязвимостей в популярных приложениях и операционных системах публикуются на профильных ресурсах практически ежедневно, при этом наиболее громкие уязвимости получают даже имена собственные - так было, например, с HeartBleed (CVE-2014-0160), EternalBlue (CVE-2017-0144), Log4Shell (CVE-2021-44228). Обнаружение подобного рода уязвимостей, ошибок конфигурирования или реализации протоколов становится значимым событием, поскольку вслед за публикацией исследователем или вендором технической информации злоумышленники начинают разрабатывать эксплойты в надежде атаковать пока что непропатченные системы (о важности процесса управления уязвимостями мы говорили в одной из предыдущих статей).
Как мы писали в одной из ранних публикаций, уязвимость - это некий недостаток создания/конфигурирования/использования программно-технического средства или информационной системы, который может негативно повлиять на обеспечение кибербезопасности ИТ-актива, при этом атакующие используют (эксплуатируют) уязвимости в самом активе или в его защите для осуществления вредоносных действий. Список уязвимостей непрерывно пополняется, так, например, в реестре CVE (Common Vulnerabilities and Exposures) организации MITRE на конец января 2022 года задокументировано почти 170 тысяч уязвимостей, среди которых встречаются по-настоящему разрушительные, эксплуатация которых может привести к захвату всей ИТ-инфраструктуры.
Экстенсивное развитие микроэлектронной промышленности и сетей передачи данных, а также разработка и внедрение новых специализированных и энергоэффективных сетевых технологий и протоколов, таких как 5G, Bluetooth Low Energy, LoRa, Zigbee и Z-Wave, в течение последних 10 лет привели к формированию целого класса недорогих и высокопроизводительных устройств - так называемых устройств «Интернета Вещей» (англ. IoT, Internet of Things).
К сфере обработки биометрических данных (а это, в первую очередь применение технологий распознавания по лицу и голосу) в последние несколько лет значительно повысился интерес со стороны государства. Это внимание обусловлено как возможностями, предоставляемыми данными технологиями, так и новыми (порожденными) угрозами.
В одном ряду с наиболее авторитетными зарубежными организациями, работающими над проблематикой методического обеспечения защиты информации, такими как ISO (International Organization for Standardization, Международная организация по стандартизации), NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологии) и CIS (Center for Internet Security, Центр Интернет-Безопасности), стоит организация ISACA. Аббревиатура ISACA изначально означала Information Systems Audit and Control Association, т.е. Ассоциация по аудиту и контролю информационных систем, однако в последнее время название ISACA используется как имя собственное.
Подробнее - https://www.securityvision.ru/blog/freymvork-cobit-2019/
В новостях регулярно публикуют сообщения об атаках на сайты крупных банков, на сервисы государственных услуг и различные социальные сети, в результате чего данные интернет-ресурсы становятся недоступными для посетителей.
Это - DDoS атаки...
Разрабатывая модель угроз и нарушителя для организации, опытный специалист по кибербезопасности не должен упускать из виду угрозы, создаваемые инсайдерами - внутренними нарушителями, а также должен задуматься о применении DLP-систем для предотвращения утечек данных (DLP - Data Leak/Leakage/Loss Prevention).
Подробнее - Что такое DLP системы и как они применяются
В последние годы Центральный банк уделяет особое внимание финансовым технологиям (финтеху) как источнику повышения конкурентоспособности российского платежного пространства, развития внутренней конкуренции, повышения качества и безопасности оказываемых на финансовом рынке услуг.
Подробнее - Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
В ранее опубликованной статье, посвященной индикаторам компрометации, мы обсудили виды и типы индикаторов компрометации (Indicators of Compromise, IoC), которые используются в такой сфере кибербезопасности, как киберразведка (CyberThreat Intelligence, сокращают часто CTI или просто TI, от Threat Intelligence). В данной статье мы обсудим, что такое TI, как и зачем применять методы киберразведки, какую пользу получит бизнес от использования технологии threat intelligence. Приступим!
Скорость развития и изменения киберпространства в последние годы поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд.
Подробнее - Актуальные тренды кибербезопасности в 2021 году
В условиях цифровизации и повсеместного перехода на безналичные способы оплаты проблема обеспечения кибербезопасности с каждым годом становится всё более актуальной. Динамика объема и количества несанкционированных операций с использованием платежных карт неуклонно растет от года к году.
Мы продолжаем обзор возможностей новой версии платформы Security Vision, начатый ранее https://www.securityvision.ru/blog/obzor-novykh-vozmozhnostey-platformy-upravleniya-protsessami-info.... На этот раз мы хотели бы глубже осветить основные отличия нашего продукта от тех, что представлены на рынке, и те механизмы, которые лежат в основе платформы и позволяют оптимизировать практически любой процесс информационной безопасности и смежных областей.
Ситуационная осведомленность – это модель оценки обстановки. Одним из наиболее известных исследователей в этой области является Мика Эндсли, где она сформировала следующее определение: ситуационная осведомленность — это восприятие элементов и событий окружающей среды по отношению к времени или пространству, понимание их значения и проекция их статуса в ближайшем будущем.
Как правило, большинство терминов, связанных с информационными технологиями, приходит в российские сообщества и нормативные документы из различных англоязычных международных стандартов. Таким образом в последние несколько лет в индустрии информационной безопасности стали активно применяться термины с приставкой кибер-, в частности - «кибербезопасность».
Скорость развития и изменения киберпространства в последние 3-5 лет поражает воображение уже не только неискушенных пользователей, но и маститых специалистов в области ИТ и ИБ. Происходит экспоненциальное развитие даже не объема обрабатываемых данных, количества подключенных к интернету устройств или приложений/сервисов, но и самих концепций и технологий, а всеобъемлющая цифровизация и переход большинства бизнесов в онлайн в связи с пандемией лишь ускорили данный тренд.