- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
-xcha |
Глава 1 |
||||
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Стратегия безопасности
За прошедшие годы инвестиции в сферу обеспечения безопасности перешли из разряда «nice to have» в разряд «must have», и теперь организации по всему миру понимают, насколько важно постоянно инвестировать в безопасность. Эти инвестиции обеспечат конкурентоспособность компании на рынке. Не- способность надлежащим образом защитить свои ресурсы может привести к невосполнимому ущербу, а в некоторых случаях – к банкротству. Из-за ны- нешнего ландшафта киберугроз недостаточно инвестироватьтолько в защиту. Компании должны улучшать общую стратегию безопасности, а это означает, что инвестиции в защиту, обнаружение и реагирование должны быть согласо- ваны.
В этой главе мы рассмотрим следующие темы:текущий ландшафт киберугроз;проблемы в пространстве кибербезопасности;
как улучшить свою стратегию безопасности;роли Синей и Красной команд в вашей компании.
Текущий ландшафт киберугроз
С преобладанием постоянных подключений и достижений в технологиях, ко- торые доступны на сегодняшний день, киберугрозы быстро развиваются, что- бы эксплуатировать различные аспекты этих технологий. Любое устройство уязвимо для атаки, а с появлением концепции «интернета вещей» (IoT) это стало реальностью. В октябре 2016 г. на DNS-серверы была проведена серия DDos-атак,в результате чего перестали работатьнекоторые основные веб-сер висы ,такие как GitHub, Paypal, Spotify, Twitter и др. (1).
Это стало возможным из-за большого количества небезопасных IoT-устройств по всему миру. В то время как использование IoT для запуска масштабной кибератаки является чем-то новым, наличие уязвимости в этих устройствах таковым не является. На самом деле они были там довольно давно. В 2014 г. компания «ESET» сообщила о 73 000 незащищенных камерах безопасности спаролямипоумолчанию(2).Вапреле2017г.компания«IOActive»обнаружила
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
18 Стратегия безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
7000 уязвимых маршрутизаторов Linksys, хотя, по ее словам, число дополни- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
тельных маршрутизаторов могло доходить до 100 000 (3). |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
Главный исполнительный директор (CEO) может даже спросить: какое |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
отношение уязвимости в домашнем устройстве имеют к нашей компании? |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
Именно в этот момент главный специалист по информационной безопас- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ности (CISO) должен быть готов дать ответ. Ведь у него должно быть лучшее |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
понимание ландшафта киберугроз итого,как домашние устройства пользова- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
телей могут влиять на общую безопасность. Ответ приходит в виде двух прос |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
тых сценариев,таких как удаленный доступ и Bring your Own Device (BYOD). |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Хотя удаленный доступ не является чем-то новым, число удаленных работ- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
ников растет в геометрической прогрессии. По данным Gallup (4), 43 % занятых |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
американцев уже работают удаленно, а это означает, что они используют свою |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
собственную инфраструктуру для доступа к ресурсам компаний. Усугубляет эту |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
проблему рост числа компаний, разрешающих концепцию BYOD на рабочем |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
месте . Имейте в виду,что существуют способы безопасного внедрения BYOD, но |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
большинствосбоеввсценарииBYODобычнопроисходитиз-заплохогопланиро- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
вания и сетевой архитектуры,которые приводят к небезопасной реализации (5). |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
Что общего между всеми вышеупомянутыми технологиями? Чтобы управ- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
лять ими, нужен пользователь, и он по-прежнему является главной целью для |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
атаки.Люди–самоеслабоезвеновцепибезопасности.Поэтойпричинестарые |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
угрозы,такие как фишинговые электронные письма, продолжают расти в объ |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
еме,посколькуонизатрагиваютпсихологическиеаспектыпользователя,побуж- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
даяегокликнутьчто-либо,напримервложениефайлаиливредоноснуюссылку. |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
Обычно, когда пользователь выполняет одно из этих действий, его устройство |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
заражается вредоносным ПО или к нему удаленно получаетдоступ хакер. |
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
Таргетированная фишинговая кампания (spear phish) |
может начаться |
|
|
|
|
|
|
|
сэлектронного письма, которое, по сути, станет отправной точкой для зло умышленника, после чего будут использованы другие угрозы для эксплуата- ции уязвимостей в системе.
Одними из примеров растущей угрозы, которая использует фишинговые письма в качестве отправной точки для атаки, являются программы-вымога- тели (ransomware). По сообщениям ФБР,только в течение первых трех месяцев 2016 г. вымогателям было выплачено 209 млн долл. (6). По данным компании «TrendMicro»,ростчислаатаксиспользованиемпрограмм-вымогателейстаби- лизировался в 2017 г.Тем не менее методы атаки и цели варьируются (7).
На рис. 1.1 показана взаимосвязь между этими атаками и конечным поль- зователем.
Эта диаграмма показывает четыре точки входа для конечного пользовате- ля. Все они должны иметь свои риски, идентифицированные и обработанные
снадлежащим контролем. Сценарии перечислены следующим образом:
связь между локальными и облачными ресурсами (1);
связь между BYOD-устройствами и облачными ресурсами (2);
связь между корпоративными устройствами илокальными ресурсами (3);связь между персональными устройствами и облачными (4).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Текущий ландшафт киберугроз 19to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Облачные ресурсы
|
|
|
Киберпреступник |
|
2 |
|
|
1 |
|
|
|
|
|
Угроза |
|
|
|
и контрмеры |
|
|
Мобильный телефон (BYOD) |
4 |
|
Угроза |
|
|
|
|
|
|
|
и контрмеры |
Корпоративное |
|
Угроза |
|
|
||
3 |
устройство |
|
и контрмеры |
|
Планшет |
||
|
|
||
Угроза |
|
|
(персональное |
и контрмеры |
|
|
устройство) |
Локальные ресурсы
Рис.1.1
Обратите внимание,что это разные сценарии,но все они связаны между со- бой одним объектом – конечным пользователем. Общий элемент во всех сце- нарияхобычноявляетсяпредпочтительнойцельюдлякиберпреступников,что показано на предыдущейдиаграмме получениядоступа к облачным ресурсам.
Во всех сценариях постоянно появляется еще один важный элемент–ресур- сы облачных вычислений. Реальность такова, что в настоящее время нельзя игнорироватьтотфакт,чтомногиекомпаниивнедряютоблачныевычисления. Подавляющее большинство начнется в гибридном сценарии, где модель «Инфраструктура как услуга» (IaaS) является их основным облачным сервисом. Ряд других компаний может использовать модель «Программное обеспечение как услуга» (SaaS) для некоторых решений, например для управления мобильными устройствами ( MDM), как показано в сценарии (2). Можно утверждать, что в организациях с высокой степенью безопасности, таких как военные, может не быть облачной связи. Это, конечно, возможно, но, с ком- мерческой точки зрения, внедрение облачных вычислений растет и будет по- степенно доминировать в большинстве сценариев развертывания.
Локальная безопасность имеет решающее значение, потому что это ядро компании, именно там большинство пользователей будет получать доступ к ресурсам. Когда организация решает расширить свою локальную инфра- структуру с помощью облачного провайдера, чтобы использовать модель IaaS (1),компании необходимо оценить угрозы для этого соединения и контрмеры для борьбы с этими угрозами с помощью оценки рисков.
Последний сценарий (4) может быть интригующим для некоторых скепти- ческинастроенныханалитиков.Восновномэтопроисходитпотому,чтоонине сразу могутувидеть,что этотсценарий имееткорреляцию с ресурсами компа-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
20 Стратегия безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
нии. Да, это персональное устройство без прямой связи с локальными ресур- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
сами.Однако если это устройство скомпрометировано,то пользователь может |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
потенциально скомпрометироватьданные компании в следующих ситуациях: |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
открытие корпоративной электронной почты с этого устройства; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
доступ к корпоративным SaaS-приложениям с этого устройства; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
если пользователь использует один и тот же пароль (8) для своей личной |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
электронной почты и корпоративной учетной записи, это может при- |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
вести к компрометации учетной записи посредством метода полного |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
перебора или подбора пароля. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Наличиетехническихсредствконтролябезопасностиможетпомочьнейтра- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
лизовать некоторые из этих угроз, направленных на конечного пользователя. |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
Темнеменееосновнойзащитойявляетсяпостоянноеобучениеспроведением |
|
|
|
|
|
|
|
тренингов по безопасности.
Пользователь будет использовать свои учетные данные для взаимодей- ствиясприложениями,чтобылибоиспользоватьданные,либозаписыватьих на серверы, расположенные в облаке или локально. Все, что выделено жирным шрифтом, имеет уникальный ландшафт угроз, который должен быть иденти- фицирован и обработан.Мы рассмотрим эти области в следующих разделах.
Учетные данные –аутентификация и авторизация
Согласно отчету по расследованиям инцидентов в области информационной безопасности за 2017 г.откомпании «Verizon» (9),связьмежду субъектом угро- зы (или просто субъектом), его мотивами и способом действия варьируется в зависимости от отрасли. Тем не менее в докладе говорится, что украденные учетные данные являются предпочтительным вектором атаки для финансо- вой мотивации или организованной преступности. Эти данные очень важны, т. к. они показывают, что субъекты угроз следуют за учетными данными поль- зователя. Это позволяет сделать вывод, что компании должны уделять особое внимание аутентификации и авторизации пользователей и их прав доступа.
Отрасльсогласиласьстем,чтоличностьпользователя–этоновыйпериметр. Онтребуетмербезопасности,специальноразработанныхдляаутентификации и авторизации лиц на основании их работы и потребности в конкретных дан- ных в сети. Кража учетных данных может быть только первым шагом, чтобы разрешить киберпреступникам доступ к вашей системе. Наличие действую- щей учетной записи пользователя в сети позволит им распространяться даль- ше и в какой-то момент найдет правильную возможность повысить привиле- гиюдо учетной записи администраторадомена.По этой причине применение старой концепции глубокой защиты все еще является хорошей стратегией для защиты личности пользователя, как показано на рис. 1.2.
Здесь можно увидеть несколько уровней защиты, начиная с регулярного применения политики безопасности для учетных записей, которые следуют передовым отраслевым методам, таким как строгие требования к паролям, политика,требующая частой смены паролей и их надежности.