Информационная безопасность

Содержание

Виды угроз информационной безопасности предприятия

Существует несколько причин, по которым становится возможным незаконный доступ до
конфиденциальной информации злоумышленниками. Среди них особенно опасными являются
следующие:

Халатное отношение сотрудников компании к защите цифровых данных.

Виновными могут оказаться не преступники, которые хотят украсть информацию, а рядовые
сотрудники. Они совершают эти действия из-за недостатка зданий или невнимательности.

Основные причины нарушения безопасности со стороны сотрудников:

  • Переход по фишинговой ссылке
    с рабочего компьютера и заражение вредоносной программой корпоративной сети;
  • Хранение конфиденциальных
    данных на сменных носителях информации;
  • Пересылка информации с
    секретными данными по обычной электронной почте или через незащищенный мессенджер.

Использование нелицензионных программ

Коммерческие компании часто экономят средства на приобретении ПО и позволяют сотрудникам
пользоваться пиратскими версиями офисных приложений и профессиональных программ.
Однако при этом возникает опасность внедрения в сеть вирусов и других вредоносных
программ.

Кроме того, использование пиратского ПО влечет за собой дополнительные минусы:

  • Отсутствие периодических
    обновлений, которые «латают дыры» в системе защиты;
  • Отсутствие технической
    поддержки со стороны разработчиков;
  • Невозможность проверки
    подлинности кода приложения.

Умышленные DDoS атаки на сервера компаний

Distributed-Denial-of-Service подразумевает отправку очень большого количества сетевых
запросов от пользователей в сети, зараженных специальной программой. Из-за этого
ресурс, на который направлена атака, блокируется по причине перегрузки канала связи.
Длительная неработоспособность сервера негативно отражается на лояльности пользователей.

Часто к такому приему прибегают конкуренты потерпевшего, DDoS-атака применяется
как средство шантажа и отвлечения специалистов по сетевой безопасности от реальных
проблем. Например, отвлечение внимания на такую атаку может служить прикрытием для
кражи денежных средств или платежной информации с сервера.

Работа вредоносных программ

Компьютерные вирусы – распространенная угроза безопасности IT-инфраструктуры
компании. Ущерб, нанесенный вредоносными программами, исчисляется миллионами долларов.
В последние 3-5 лет наблюдается увеличения числа вредоносных программ и атак с их
стороны, а также сумм понесенных компаниями потерь.

Дополнительная опасность в том, что помимо компьютеров пользователей и серверов,
сейчас заражению подвергаются и другие элементы сетевой инфраструктуры:

Наибольший ущерб причиняют вирусы, которые шифруют данные на компьютере пользователя
и требуют от него денежного перевода за расшифровку. Примерами таких вредоносных
утилит являются WannaCry, Petya.

Действия правоохранительных органов

В ходе расследования уголовных дел и при проведении некоторых видов проверок представители
контролирующих и правоохранительных органов могут изымать компьютерную технику и
документы, в том числе с конфиденциальной информацией.

Это приводит сразу к двум негативным последствиям:

Дополнительный минус этого в том, что решение об изъятии могут принимать должностные
лица государственного органа, что делает практически невозможным своевременную защиту
интересов компании в сфере информационной безопасности.

Бесплатный сервис хранения ссылок

Из песочницы

Знаю, что “хабра-народ” сейчас очень негодует, что стало очень мало технических статей, Хабр “не торт” и т.п. поэтому напишу сразу – это не техническая статья.

Цель статьи – поделиться удобным бесплатным сервисом хранения ссылок.

Конечно, можно было бы написать подробное техническое повествование. Например, целая история с изменением регулярного выражения для проверки корректности ссылки, сколько бы его не настраивали – всегда находилась ссылка, которая не вписывалась бы в правила. Но тогда бы получилась целая серия статей, которые наверняка никому и не интересны. Да и некоторые NDA надо учитывать.

Правила безопасности

Есть несколько обязательных правил информационной безопасности, которые соблюдать просто необходимо (2014 г.).

Заслон от вирусов и спама

Заслон для вирусов и спама. Самую большую угрозу безопасности компании, по данным экспертов, представляет вредоносное ПО. На август 2014 года ежедневно появляется около 200 тыс. новых его образцов. По данным участников ИБ-рынка, в 2013 году 95% российских компаний по меньшей мере один раз подверглись хакерской атаке. Не менее серьезной угрозой является утечка в результате незащищенного обмена корпоративной информацией через мобильные устройства сотрудников.

Чтобы не допустить возникновения этих угроз, необходимо отказаться от «левого» софта, установить файрвол и современный антивирус, регулярно обновлять его.

Компьютер для ДБО использовать только для ДБО

Компьютер, на котором установлено ДБО, необходимо отключить от локальных сетей. Выходить в интернет с него, кроме как для связи с банком, нельзя.

Не пользоваться соцсетями и открытым Wi-Fi с рабочих компьютеров

Если в работе или для хранения информации используются смартфоны и планшетные компьютеры, не надо выходить с них в социальные сети и пользоваться общедоступным Wi-Fi.

Ключи и пароли держать под замком

Часто руководители СМБ сами дают карты в руки мошенникам, держа ключи от ДБО и электронной подписи в доступном месте.

Эти сведения необходимо хранить в сейфе или другом надежном месте, доступ посторонних к ним должен быть запрещен.

Корпоративные данные должны храниться на удаленном сервере

Коммерческие и персональные данные лучше всего доверить облачным сервисам. Это безопаснее, чем в папке на столе или компьютере, на флешке или съемном диске. Данные в дата-центрах хранятся в зашифрованном виде, и добраться до них можно только с помощью электронных ключей и цифровой подписи.

Разграничить доступ к данным между сотрудниками

Важно также предупредить и внутренние угрозы – умышленные или случайные нарушения политики информационной безопасности сотрудниками компании. Эти риски можно минимизировать, установив доступ к корпоративной информации в зависимости от уровня полномочий сотрудников

Например, менеджер по продажам располагает сведениями только о своих клиентах, а полная база и вся история продаж будет доступна только начальнику отдела продаж. Главный бухгалтер должен иметь доступ только к бухгалтерской отчетности, а управленческая отчетность будет доступна только гендиректору. Конечно, в маленькой компании добиться полного обособления функций сложно, но попытаться разграничить потоки информации между сотрудниками все-таки необходимо. Все это также снизит вероятность утечки данных.

Средства и методы защиты конфиденциальных данных от кражи и изменения

  • Физическая защита
    данных. Для этого на предприятии устанавливаются ограничения на доступ
    определенных лиц к местам хранения данных или на территорию. Используются дистанционно
    управляемые СКУД, права доступа определяются радиометками или с помощью других средств
    идентификации. Например, зайти в помещение с серверами могут только те лица, у которых
    это право прописано в карточке.
  • Общие средства
    защиты информации. К ним относятся приложения и утилиты, которые должен
    использовать каждый пользователь при работе в сети. Например, антивирусные программы,
    фильтры сообщений электронной почты. К базовым средствам относятся также системы
    логинов и паролей для доступа во внутреннюю сеть, которые должны периодически меняться
    во избежание утечки.
  • Противодействие
    DDoS-атакам. Самостоятельно компания – владелец сервера не может
    обезопасить свои ресурсы от атак этого типа. Поэтому необходимо использовать внешние
    утилиты. Они срабатывают, когда система обнаруживает подозрительный трафик или резкое
    увеличение запросов на доступ. В этом случае активируется специальная программа,
    которая блокирует посторонний трафик и сохраняет доступ для легальных пользователей.
    Работа ресурса таким образом не нарушается.
  • Резервирование
    информации. Это средство защиты направлено не на противодействие незаконному
    завладению данными, а на ликвидацию последствий постороннего вмешательства. Резервирование
    предусматривает копирование информации на удаленные хранилища или в «облако».
    Учитывая низкую стоимость носителей и услуг «облачных» провайдеров,
    позволить себе многократное резервирование данных может любая компания, для которой
    важна IT-инфраструктура.
  • План восстановления
    работы после вмешательства. Это один из последних эшелонов защиты информационной
    инфраструктуры компании. Каждый владелец корпоративной сети и серверов должен иметь
    заранее продуманный план действий, направленный на быструю ликвидацию последствий
    вмешательства и восстановление работы компьютеров с серверами. План вводится в действие
    в случае, если сеть не может функционировать в стандартном режиме или обнаружено
    постороннее вмешательство.
  • Передача зашифрованных
    данных. Обмен конфиденциальной информацией между удаленными пользователями
    по электронным каналам связи должен проводиться только с использованием утилит,
    которые поддерживают конечное шифрование у пользователя. Это дает возможность удостовериться
    в подлинности передаваемых данных и исключить расшифровку третьими лицами, перехватившими
    сообщение.

Последние поправки

Внимание! Аудиовизуальными онлайн-сервисами не считают сайты, которые созданы по ФЗ № 2124-1 от 27 декабря 1991 г., а также поисковые разнообразные системы (Яндекс, Гугл и др.) и веб-порталы, на которых аудиофайлы размещают только пользователи интернета.

Ниже перечислены основные нововведения ФЗ № :

  1. В ФЗ №  были обновлены статьи 2, 7, 8, 13 и 15. В ст. 2 последние поправки внесены 29 июня 2015 г. В п. 20 этой статьи добавили понятие поисковой системы;
  2. В 2013 г. введено несколько поправок в ст. 7 (4, 5, 6 пункт) ФЗ № . Согласно таким нововведениям, теперь размещение информационных материалов в интернете разрешено только в конкретном формате, допускающим проведение автоматизированной обработки цифровых данных;
  3. В п. 5 ст. 7 были введены определенные мероприятия по нераспространению секретных сведений, которые являются гостайной. По требованию Роскомнадзора, публикацию открытых цифровых данных (например, о доходах чиновников) приостанавливают или прекращают вовсе;
  4. В п. 5 ст. 8 ФЗ №  27 июля 2010 г. были внесены некоторые поправки. Теперь госорганы обеспечивают свободный доступ к конкретным сведениям о собственной ежедневной деятельности не только в реальной жизни, но и в интернете;
  5. В ст. 13 закона РФ № -ФЗ об информационных конкретных технологиях и о технической защите конфиденциальной информации новые поправки были введены 31 декабря 2014 г. Согласно этим нововведениям, техсредства, которые используют госорганы или государственные компании, должны быть зарегистрированы в РФ. Контроль за соблюдением такой нормы регламентирует Правительство РФ.

Законом № 276-ФЗ от 29 июля 2017 г. были внесены следующие поправки в ФЗ № :

  • ст. 9 дополнена ч. 21. Теперь порядок идентификации владельцев различных веб-ресурсов и применения конкретных мер по ограничению свободного доступа к запрещенным сайтам определяет Роскомнадзор;
  • ст. 102 утратила силу;
  • в ст. 15 добавили сведения о новых полномочиях Роскомнадзора.

Теперь сотрудник этого надзорного органа РФ выполняет такие действия:

  1. Создает и пользуется электронной системой ФГИС, которая содержит перечень запрещенных сайтов;
  2. На основании конкретного обращения из полиции или иного правоохранительного органа определяет владельца сайта с запрещенной информацией;
  3. Отправляет хостинг-провайдеру электронное уведомление о незамедлительном предоставлении сведений, которые идентифицируют владельца запрещенного сайта;
  4. В ФГИС указывает дату и время отправления уведомления.

Далее, на протяжении 3 рабочих дней с даты получения письменного уведомления от Роскомнадзора хостинговая компания предоставляет контролирующему госоргану нужную информацию. На протяжении 3 дней с даты получения от интернет-хостинга необходимых данных Федеральная служба по надзору в сфере связи направляет конкретному владельцу веб-ресурса требование о необходимости срочного подключения к ФГИС, на протяжении 30 рабочих дней.

Внимание! При неисполнении такого требования, Роскомнадзор самостоятельно закрывает доступ к запрещенному сайту. На протяжении 24 ч

контролирующий орган отправляет провайдерам ссылку на сайт, которой надо закрыть. Затем, поставщик интернета на протяжении суток делает сайт недоступным для всех онлайн-пользователей.

Закон Яровой: суть

Суть «пакета Яровой» заключается в необходимости длительное время хранить распечатку телефонных переговоров клиентов мобильных операторов. Сделано это в интересах силовых структур для предотвращения террористических актов и других операций, направленных против России. Таким образом, если у сотрудников силовых структур есть подозрения, что готовится противоправная акция или провокация, они запрашивают информацию о переписки и распечатку звонков конкретно взятого гражданина.

Подобная мера увеличила затраты сотовых операторов, так как потребовалось приобрести большие хранилища. Затраты на приобретение и приведение инфраструктуры согласно требованиям этого закона легли на клиентов мобильных операторов, что повысило стоимость их услуг. Но это, наверное, единственный и основной недостаток. Зато вот какие преимущества позволил получить «Пакет Яровой»:

  • предотвращение террористических актов и иных противоправных деяний;
  • возможность хранить распечатки звонков дольше, что позволит обращаться к операторам для получения доказательной базы при решении проблем через суд;
  • улучшение качества обслуживания клиентов мобильными операторами;
  • возможность использования дополнительных хранилищ не только для записи логов.

Яровая объясняет, почему необходимо принять меры для хранения информации мобильными операторами

Таким образом, «Пакет Яровой», направленный против террористических групп, обладает рядом преимуществ. Поэтому повышение стоимости услуг сотовых операторов – это безопасность, за которую нужно платить. При ее отсутствии расплата будет значительно дороже.

Средства межсетевого экранирования

Эти СЗИ защищают корпоративную сеть от попыток проникновения. Иногда их называют также файрволами или брандмауэрами. Грубо говоря, это действительно стена, которая, как предполагается, сможет остановить злоумышленников. Вот примеры:

  • TrustAccess. Может разделить локальную сеть на сегменты для защиты информации, разграничить доступ к информационным системам на сетевом уровне. Кроме того, здесь есть собственный механизм аутентификации, обеспечивающий защиту от прослушивания, попыток подбора и перехвата паролей.
  • «Континент». Это несколько продуктов, которые умеют, например, объединять несколько филиалов организации в виртуальную частную сеть и организовывать защищенный удаленный доступ в корпоративную сеть. Поддерживается множество операционных систем. Например, Windows, Linux и Android.

Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»

С ноября 2020 года участились случаи похищения аккаунтов у популярных Telegram-каналов. Недавно эксперты CERT-GIB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (320 тысяч подписчиков). В той атаке использовался стилер Hunter, который Могутину прислали под видом рекламы образовательной платформы. Сам стилер нацелен на устройства под управлением ОС Windows, поэтому атакующие так настойчиво просили журналиста открыть архив на рабочем компьютере, а не с iPhone, чего он — и правильно — делать не стал. Hunter «умеет» автоматически собирать учетные записи на зараженном компьютере, затем отсылает их злоумышленнику и раньше его, к примеру, часто использовали для кражи учетных данных у игроков GTA. Никита Карпов, младший вирусный аналитик CERT-GIB, провел анализ вредоносного файла и раскрывает технические детали того, как хакеры пытались угнать Telegram-канал.

Вопрос №2. Защита информации (определение, система, концепция, цель и замысел). Формы защиты информации. Сертификация, аттестация и лицензирование.

Защита
информации

— Деятельность,
направленная на предотвращение утечки
защищаемой информации, несанкционированных
и непреднамеренных воздействий на
защищаемую информацию.

Система
защиты информации

— совокупность органов и/или исполнителей,
используемая ими техника защиты
информации, а также объекты защиты,
организованные и функционирующие по
правилам, установленным соответствующими
правовыми, организационно-распорядительными
и нормативными документами по защите
информации.

Концепция
защиты информации

— Концепция
информационной безопасности, как система
взглядов на цели, способы обеспечения
безопасности информации и средства ее
защиты, должна в общем виде отвечать на
три простых вопроса:

·    
Что защищать?

·    
От чего защищать?

·    
Как защищать?

Цель
защиты информации
— Заранее намеченный результат защиты
информации.

Целью
защиты информации  может  быть 
предотвращение  ущерба собственнику, 
владельцу,  пользователю информации
в результате возможной утечки информации
и/или несанкционированного и 
непреднамеренного воздействия на
информацию.

Формы
защиты информации

— Сертификация, аттестация и лицензирование.

Замысел
Основная
идея, раскрывающая состав, содержание,
взаимосвязь и последовательность
осуществления технических и организационных
мероприятий, необходимых для достижения
цели защиты информации.

Сертификация:

Документ,
выдаваемый в соответствии с правилами
сертификации, указывающий, что
обеспечивается необходимая уверенность
втом, что должным образом идентифицированные
защищенные изделия, техническиесредства
и способы защиты информации
соответствуют конкретному стандарту
или другому нормативному документу.

Аттестация
— Под аттестацией объектов информатизации
понимается комплекс организационно-технических
мероприятий, в результате которых
посредством специального документа
(Аттестат соответствия) подтверждается,
что объект отвечает требованиям
стандартов или иных нормативно-технических
документов по безопасности информации,
утвержденных ФСТЭК России.

Лицензирование
– Разрешение
на право проведения тех или иных работ
в области защиты информации оформленное
лицензионным соглашением.

Вопрос
№3. Объект защиты, классификация.
Основные способы защиты информации от
Технических разведок.

Объект 
защиты 
—  информация или носитель информации
или информационный процесс,  в
отношении которых необходимо обеспечивать 
защиту  в соответствии с поставленной
целью защиты информации.

Классификация
к общим показателям относятся:

– важность
информации;

– категория
обрабатываемой информации;

– уровень
защиты;

– контролируемая
зона (КЗ);

– комплекс
средств безопасности объекта (КСБО);

– условия
функционирования при обработке информации
(автономно или неавтономно).

Устанавливаются
следующие уровни составляющих важности
информации:

– конфиденциальность:
особой
важности, совершенно секретно, секретно,
для служебного пользования, открытая
информация;

Защита
от технической разведки

— это комплекс мероприятий организационного
и технического характера, проводимых
с целью исключения или существенного
затруднения получения данных о скрываемом
объекте.

При
осуществлении мероприятий по защите
руководствуются рядом принципов,
реализация которых позволяет решать
задачи защиты с максимальной эффективностью
и минимальной стоимостью. Эти принципы
заключаются в том, что защита должна
быть

  • комплексной

  • активной

  • убедительной

  • непрерывной

  • разнообразной

  • экономически
    обоснованной.

Все
способы защиты в соответствии с имеющейся
руководящей документацией делятся на
две группы:

  1. скрытие;

  2. дезинформация.

Первая
группа включает:

  1. пассивное
    скрытие;

  2. активное
    скрытие;

  3. специальную
    защиту.

Вторая
группа включает:

  1. техническую
    дезинформацию;

  2. имитацию;

  3. легендирование.

Что такое информация?

Ранее информацией считались
сведения, передаваемые одними людьми другим с помощью речи, написания,
условными сигналами и разного рода техническими средствами. Со второй половины
двадцатого века информация становится более сложным понятием, фигурирующим в
разных сферах науки и жизни:

— данные, передаваемые между
людьми, людьми и компьютерами/программами, компьютерами и программами  между собой;

— сигналы в природе (сигналы
животных и растений);

— особые характерные черты,
передаваемые клетками и организмами;

— и многое другое.

Информация превратилось в
более обширное понятие, и получила широкое применение. Согласно философским
учениям она существует сама по себе, не имея материальной или энергетической
составляющих. Даже ходит мнение о наличии всеобщего информационного поля, к
которому мы подключены постоянно.

Чтобы не углубляться в философию, мы примем за основу что защита информации – это данные, которые собираются, хранятся, обрабатываются, передаются и используются в рамках системы данных.

Средства обнаружения и предотвращения вторжений

Эти СЗИ мониторят и анализируют множество данных в корпоративной сети, чтобы вовремя обнаружить факт несанкционированного доступа. Примеры:

  • ViPNet IDS. Здесь вторжения в сеть обнаруживаются с помощью динамического анализа сетевого и прикладного трафика стека протоколов TCP/IP. У ViPNet IDS есть сертификат ФСТЭК России и сертификаты ФСБ России.
  • «Рубикон». Подходящее решение, если нет ресурсов для профессиональной настройки. Интерфейс понятен и не требует глубоких знаний. Есть маршрутизатор с поддержкой мандатных меток, возможность построения однонаправленных шлюзов и многое другое.

Какие бывают информационные опасности

Существует два типа опасных факторов для любой информации. Это несанкционированный доступ и повреждение по естественным причинам.

Однако эти два указанных сегмента делятся на несколько категорий, которые методы и средства защиты информации классифицируют как имеющие отличные друг от друга показатели возможного ущерба.

В частности, несанкционированный доступ подразделяется на:

  • доступ к данным для ознакомления, копирования, с целью последующего использования в целях, подразумевающих нанесение вреда владельцу (репутационного, материального, измеряемого в недополученной прибыли);
  • доступ с целью изменения, что может повлечь за собой самые различные последствия, включая уголовную и административную ответственность;
  • доступ с целью удаления для нанесения ущерба различного рода.

Методы защиты информации в информационных системах выделяют и сугубо криминальные действия, не направленные на определенного владельца или сегмент данных. Современные злоумышленники шифруют файлы, базы, шантажируя компании.

Деньги вымогаются за возврат информации в исходное состояние или иные действия.

Известный вирус-шифровщик wanna cry

Естественные причины связаны только с отказом оборудования и достаточно легко нейтрализуются. Это может быть выход из стоя элементов хранения данных (жестких и оптических дисков, ленточных носителей, контроллеров RAID массивов).

Хотя такие случаи легко учитываются и прогнозируются, с построением системы дублирования и резервного копирования — период времени, необходимый для восстановления информации, зачастую причиняет репутационные потери, вызывает отказ в обслуживании и другие неприятные последствия.

С привлечением людей

SIEM – Security Information and Event Management

Обеспечивает анализ событий безопасности, исходящих от сетевых устройств и приложений, в реальном времени и позволяет реагировать на них до получения существенного ущерба. Основное назначение – предоставление отчетов о всех событиях, так или иначе связанных с безопасностью (в том числе легитимных), создание оповещений о нестандартных событиях.

SOC – Security Operations Center

SOC – это аналитики, работающие с данными, поступающими от SIEM. SIEM собирает и приводит к единому виду данные о событиях безопасности, а задача аналитиков – решить, как быть с тем или иным инцидентом безопасности. SOC могут как реагировать на события самостоятельно, так и перенаправлять их специалистам по безопасности.Более подробно о SOC и проверке его эффективности.

IRS – Incident Response Platforms

Системы автоматизации реагирования на инциденты информационной безопасности призваны помочь аналитикам SOC выполнять ряд рутинных операций по сбору дополнительной информации об инциденте, провести ряд сдерживающих мер, устранить угрозы и провести восстановительные мероприятия. Помимо этого, в их задачи входит оповещение ответственных лиц, а также сбор отчета об инцидентах.

TIP – Threat Intelligence Platform

Эти платформы способны в режиме реального времени накапливать информацию о возможных угрозах из различных источников, классифицировать ее и производить с ней различные операции, включая выгрузку в средства защиты и SIEM-системы. В случае возникновения инцидента платформа предоставляет полный контекст происходящего, что позволяет уменьшить время реакции на инцидент и заблокировать источник атаки.

MDR – Managed Detection and Response

MDR – внешняя услуга, которая помогает организациям, которым не хватает собственных ресурсов, находить и устранять угрозы безопасности. Услуги предоставляются с использованием собственного набора инструментов и технологий вендора, но развертываются на территории пользователя. Это также включает работу человека: поставщики услуг безопасности предоставляют своим клиентам возможность привлечь исследователей и инженеров безопасности, которые отвечают за мониторинг сетей, анализ инцидентов и реагирование на случаи безопасности.

RBAC? ABAC?.. PERM! Новый подход к авторизации в облачных веб-службах и приложениях

Tutorial

Данная статья преследует цель рассказать о новом походе к авторизации в облачных решениях, в основе которого лежит использование интерпретируемого языка определения политики управления доступом — который называется языком моделирования PERM (PML). Данный язык можно использовать для выражения различных моделей управления доступом, таких как список управления доступом (ACL), управление доступом на основе ролей (RBAC), управление доступом на основе атрибутов (ABAC) и других. А также рассказать о практическом воплощении этого подхода в виде конкретной реализации кросс-языковой библиотеки авторизации Casbin

Cyber Risk Index: сравниваем компании по уровню киберзащищённости

Процесс изучения защищённости компаний от киберугроз осложняется тем, что отсутствуют какие-либо объективные критерии, по которым можно произвести сравнение. Чтобы решить эту проблему, Trend Micro совместно с Институтом Понемона (Ponemon Institute) разработали индекс киберриска (Cyber Risk Index, CRI) — методику оценки защищённости, которая помогает руководителям и командам безопасности сравнить свой уровень защищённости с компаниями-конкурентами. В этом посте расскажем о том, как рассчитывается CRI и какие данные необходимы для его расчёта, а также приведём данные CRI за 2020 год.

Как мы искали хакеров в сетевом трафике на The Standoff

Мы продолжаем освещать работу команды SOC (подробнее о ней на habr.com) на прошедшей кибербитве The Standoff. Сегодня пойдет речь о результатах мониторинга с помощью NTA-системы PT Network Attack Discovery (PT NAD), разработанной компанией Positive Technologies и выявляющей атаки на периметре и внутри сети.

За шесть дней PT NAD зафиксировал больше 8 млн атак, среди которых 778 — уникальных. Большинство обнаруженных атак — результат активности различных сетевых сканеров и автоматизированных сканеров уязвимостей. В нашем случае под атакой подразумевается срабатывание правила обнаружения на вредоносный сетевой трафик. 

Анализ внутри сети

NBAD – Network behavior anomaly detection

Инструменты обнаружения аномалий внутри сети, использующиеся в качестве дополнительных средств обнаружения угроз для мониторинга сетевой активности и генерации предупреждений, часто требующих дальнейшей оценки ИТ-команды. Системы способны обнаруживать угрозы и останавливать подозрительные действия в ситуациях, когда традиционное программное обеспечение безопасности неэффективно. Кроме того, инструменты подсказывают, какие подозрительные действия или события требуют дальнейшего анализа.

BDS – Breach Detection System

Системы данного класса могут быть реализованы как программное обеспечение или аппаратное устройство. Их цель – обнаружить нарушения безопасности внутри сети, включая сложные целенаправленные атаки. Подход к обнаружению вредоносного ПО сложнее, чем у антивирусных средств, т.к

принимается во внимание окружение, а также могут составляться цепочки событий, указывающие на вредоносную деятельность

UEBA – User and Entity Behavior Analytics

Системы анализа поведения пользователей и сущностей позволяют обнаруживать подозрительное поведение пользователей и узлов сети в корпоративной инфраструктуре, которое выпадает из поля зрения SIEM-решений.

Телефон шпионил за мной, поэтому я нашёл тех, кто использует данные слежения

Перевод

СЛЕЖКА: Американская компания имеет информацию о моём местоположении.В моём телефоне 160 приложений. Я не знаю, что они делают, но решил это выяснить.
У меня было ощущение, что эти приложения шпионят за мной. Конечно, не прослушивают меня, но постоянно следят за тем, где я нахожусь. Что каждый мой шаг кому-то передаётся: когда я хожу в продуктовый, выпиваю или общаюсь с друзьями.
Я знаю, что есть те, кто покупает и продаёт эту информацию. Как они отслеживают нас, и что хотят делать с нашими данными?
Чтобы добраться до самого дна, я начал в феврале эксперимент. На свой запасной телефон я установил кучу приложений и потом стал его носить с собой повсюду.
Или почти повсюду. Я оставил его дома, когда проходил тест на COVID-19 в апреле.

СЗИ, чтобы отвечать требованиям

Такие системы могут понадобиться и для выполнения различных требований со стороны регуляторов. Например, ФЗ-152, 719-П, ГОСТ и других. Вот примеры таких решений:

  • «КИТ-Журнал». СЗИ, которая поможет выполнять требования приказа ФАПСИ №152 и ПКЗ-2005. Система автоматизации учета и процессов информационной безопасности поможет правильно вести соответствующие документы. Есть функции разграничения прав доступа, а интерфейс — привычный и удобный. Есть традиционные планировщик задач, электронная подпись, автоматизация действий и многое другое.
  • TimeInformer. СЗИ, которая пригодится, если для отчетности нужно точно знать, какие ресурсы в интернете посещают сотрудники в течение рабочего дня. Из программы можно выгрузить подробные отчеты с аналитикой рабочего времени, установленному на компьютерах ПО и другой информацией. Одним из главных достоинств программы является ее незаметность — она не снижает скорость работы компьютеров сотрудников.
  • Контур информационной безопасности SearchInform может быть хорошим выбором, если вы ищете именно российское решение, которым пользуются множество известных компаний в России и зарубежных странах. У этого решения есть все нужные сертификаты, и им пользуются такие компании, как Банк «Открытие», Газпромнефть, Тройка-Диалог, МТТ и многие другие. Среди множество функций есть даже «Выявление инсайдеров в компании».

Заключение

Любой человек так или иначе сталкивается с методами обеспечения информационной безопасности. Он является участником правовых, когда подписывает договор с банком.

Поэтому обладать минимальными знаниями о рекомендованных обществом мерах обеспечения информационной безопасности — просто обязан.

Например: не разглашать номера паспортов друзей, не давать номера их мобильных телефонов без явного на то согласия, не рассказывать шапочному знакомому о секретах компании. Минимальный набор простых действий способен значительно облегчить жизнь, а его отсутствие — сильно ее испортить.

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий