- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
Реквизиты
доступа
пользователя
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Текущий ландшафт киберугроз 21to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Киберпреступник
Применение политики учетных записей
MFA (многофакторная аутентификация)
Непрерывный мониторинг
Рис.1.2
Ещеоднойрастущейтенденциейдлязащитыличныхданныхпользователей являетсяприменениемногофакторнойаутентификации.Одинизметодов,ко- торый получил более широкое распространение,–это функция обратного вы- зова, когда пользователь первоначально аутентифицируется, используя свои учетные данные (имя пользователя и пароль),и получает вызов для ввода сво- его пин-кода. Если оба фактора аутентификации успешны, им разрешен до- ступ к системе или сети. Мы рассмотрим эту тему более подробно в главе 6 «Охота на пользовательские реквизиты».
Приложения
Приложения являются точкой входа для пользователя, который использует данные и передает, обрабатывает или хранит информацию в системе. Прило- жения стремительно развиваются,и внедрение приложений на основе модели SaaS находится на подъеме. Тем не менее у этого объединения приложений есть унаследованные проблемы. Вотдва ключевых примера:
безопасность (насколько безопасны приложения, которые разрабаты- ваются внутри компании, и приложения, за которые вы платите как за сервис);
приложения, принадлежащие компании, и персональные прило-
жения (у пользователей будет собственный набор приложений на своих устройствах – сценарий BYOD). Как эти приложения угрожают безопас- ности компании, и могут ли они привести к потенциальной утечке дан- ных?).
Если у вас есть команда разработчиков, которые создают собственные при- ложения,следуетпринятьмеры,гарантирующие,что они используютбезопас-
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
22 Стратегия безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
ную среду на протяжении всего жизненного цикла разработки программного |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
обеспечения, например Microsoft Security Security Lifecycle (SDL) (10). При |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
использованииSaaS-приложения,такогокакOffice365,необходимоубедиться, |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
что вы ознакомились с политикой безопасности и соответствия поставщика |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
(11). В данном случае цель состоит в том, чтобы увидеть, могут ли поставщик |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
и SaaS-приложение соответствовать требованиям безопасности и соответ- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ствия вашей компании. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
Еще одна проблема безопасности, с которой сталкиваются приложения, за- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
ключается в том,как данные компании обрабатываются в разных приложени- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ях, т. е. в тех, которые используются и одобрены компанией, и в тех, которые |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
используются конечным пользователем (личные приложения). Эта проблема |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
становится еще более острой в случае с SaaS, когда пользователи используют |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
множество приложений, которые могут быть небезопасными. Традиционный |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
подход к сетевой безопасности для поддержки приложений не предназна- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
чен для защиты данных в SaaS-приложениях. Дело обстоит еще хуже. Они не |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
дают IT-специалистам наглядного представления отом,как их используют со- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
трудники. Этот сценарий также носит название Shadow IT, и, согласно опросу, |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
проведенному Cloud Security Alliance (CSA) (12),только 8 % компаний знают |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
о масштабах Shadow IT в своих организациях. Вы не можете защитить то, чего |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
не знаете, а это уязвимый момент. |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
Согласно отчету о глобальных рисках в сфере IT лаборатории Касперского |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
за 2016 г.(13),54 % предприятий считают,что основные угрозы информацион- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ной безопасности связаны с ненадлежащим обменом данными через мобиль- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ные устройства. IT-отделам необходимо получать контроль над приложения- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
ми и применять политику безопасности на всех устройствах, принадлежащих |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
компании и BYOD. Один из ключевых сценариев, который вам нужно нейтра- |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
лизовать, описан на рис. 1.3. |
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложения,утвержденные корпорацией |
Вложения |
|
электронной |
Электронная таблица, |
почты |
|
|
принадлежащая компании |
|
(конфиденциально) |
Персональные приложения
Рис.1.3
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
Текущий ландшафт киберугроз 23to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
В этом сценарии у нас имеется личный планшет пользователя, на котором |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
есть утвержденные, а также персональные приложения. Без платформы, ко- торая могла бы интегрировать управление устройствами с управлением при- ложениями, эта компания подвержена потенциальной утечке данных. В этом случае,еслипользовательскачиваетэлектроннуютаблицуExcelнасвоеустрой- ство и загружает ее в персональное облачное хранилище Dropbox, а электрон- наятаблица содержит конфиденциальную информацию компании,он создает утечку данных без ведома или возможности компании обезопасить себя.
Данные
Поскольку мы закончили предыдущий раздел, говоря о данных, следует убе- диться, что данные всегда защищены, причем независимо от их текущего состояния (в пути или в состоянии покоя). В зависимости от состояния дан- ных угрозы будут разными. Ниже приведены примеры потенциальных угроз и контрмеры .
Состояние |
Описание |
Угрозы |
Контрмеры |
Нарушение трех |
|
|
|
|
ключевых принципов |
|
|
|
|
информационной |
|
|
|
|
безопасности |
Данные в со- |
В настоящее время |
Несанкциониро- |
Шифрование дан- |
Конфиденциальность |
стоянии покоя |
данные находятся |
ванный или вре- |
ных в состоянии |
и целостность |
на устройстве |
на устройстве |
доносный процесс |
покоя.Это может |
|
пользователя |
пользователя |
может прочитать |
быть шифрование |
|
|
|
либо изменить |
на уровне файлов |
|
|
|
данные |
или шифрование |
|
|
|
|
диска |
|
Данные в пути |
В настоящее время |
В ходе атаки по- |
Для шифрования |
Конфиденциальность |
|
данные передают- |
средника данные |
данных при пере- |
и целостность |
|
ся с одного хоста |
могут быть про- |
даче могут быть |
|
|
на другой |
читаны,изменены |
использованы про- |
|
|
|
или похищены |
токолы SSL/TLS |
|
Данные |
Данные находятся |
Несанкциониро- |
Шифрование дан- |
Конфиденциальность |
в состоянии |
в состоянии покоя |
ванные или вредо- |
ных в состоянии |
и целостность |
покоя локально |
либо на жестком |
носные процессы |
покоя.Это может |
|
(сервер) или |
диске сервера, |
могут прочитать |
быть шифрование |
|
в облаке |
расположенном |
или изменить |
на уровне файлов |
|
|
локально,либо |
данные |
или шифрование |
|
|
в облаке (пул |
|
диска |
|
|
хранения) |
|
|
|
Это всего лишь несколько примеров потенциальных угроз и предлагаемых контрмер.Для полного понимания пути передачиданных в соответствии с по- требностями клиента необходимо провести более глубокий анализ.У каждого клиента будут свои особенности, касающиеся пути передачи данных, соответ- ствия, правил и положения. Крайне важно понять эти требования еще до на- чала проекта.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
24 Стратегия безопасности |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Проблемы кибербезопасности |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Для анализа проблем кибербезопасности,с которыми сталкиваются компании
внастоящее время, необходимо получить реальные данные и доказательства того, что в настоящее время происходит на рынке. Не во всех отраслях будут одинаковые проблемы в области кибербезопасности. По этой причине мы перечислим угрозы, которые по-прежнему наиболее распространены в раз- личных отраслях. Это кажется самым подходящим подходом для аналитиков кибербезопасности, не специализирующихся на определенных отраслях, но
вкакой-то момент своей карьеры им, возможно, придется иметь дело с опре- деленной отраслью, с которой они не очень знакомы.
Старые методы и более широкие результаты
СогласноотчетуоглобальныхрискахвсфереITотлабораторииКасперскогоза 2016 г.(14),основные причины наиболее дорогостоящих утечек данных связа- ны со старыми атаками, которые развиваются с течением времени в следую щем порядке:
вирусы, вредоносные программы и трояны;недостаток усердия и неподготовленность сотрудников;фишинг и социальная инженерия;целевая атака;программы-вымогатели.
Хотя первые три в этом списке – старые знакомые и хорошо известны в со- обществе кибербезопасности, они все еще преуспевают и по этой причине являются частью текущих проблем. Настоящая проблема состоит в том, что обычно они связаны с человеческими ошибками. Как объяснялось ранее, все можетначинатьсясфишинговогосообщенияпоэлектроннойпочте,использу- ющего социальную инженерию,чтобы заставитьсотрудника щелкнутьссылку, которая можетзагрузить вирус,вредоносное ПО илитроян.В последнем пред- ложении мы рассмотрели всех троих в одном сценарии.
Термин целевая атака (или продвинутая постоянная угроза) иногда не слишком понятен отдельным лицам, но есть некоторые ключевые атрибуты, которые могут помочь вам определить этот тип атаки. Первый и самый важ- ный атрибут заключается в том, что у злоумышленника есть конкретная цель, когда он или она начинает составлять план атаки. Во время этой начальной фазы злоумышленник потратитмного времени и ресурсов на проведение пуб личной разведки для получения информации, необходимой для осуществле- ния атаки. Мотивом для этой атаки обычно является эксфильтрация данных, другими словами, их кража. Еще один атрибут этого типа атаки – срок службы или период времени, в течение которого они поддерживают постоянный до- ступ к сети цели. Намерение злоумышленника состоит в том, чтобы продол- жать дальнейшее распространение по сети, взламывая различные системы, пока цель не будетдостигнута.