Что такое инцидент информационной безопасности?
Инцидент информационной безопасности — это несанкционированный доступ к информации с целью её дальнейшего использования в злонамеренных целях, а также нарушение работы IT-систем. Угроза внедрения или неудачная попытка получения доступа тоже считаются инцидентами.Информационная безопасность – совокупность систем, процессов и инструментов для защиты конфиденциальной информации компании от любых нарушений, включая модификацию, кражу и потерю.
Виды информационной безопасности
Важно отметить, что информационная безопасность и кибербезопасность — это разные понятия. Информационная безопасность — это тип кибербезопасности, который относится непосредственно к данным, а кибербезопасность — это общий термин, который охватывает безопасность данных, а IoT-устройств, оборудования и программного обеспечения.Существует несколько видов информационной безопасности и множество процессов для защиты данных от компрометации и утечки.
Безопасность приложений
Включает в себя улучшение безопасности на уровне приложений для предотвращения утечек данных и снижения вероятности появления уязвимостей. Распространенные недостатки часто встречаются в процессе аутентификации пользователей и упрощают доступ для злоумышленника.
Облачная безопасность
Включает в себя защиту данных между приложениями, платформами и инфраструктурой в облачной среде. Часто предприятия работают в общедоступном облаке, то есть в общей среде. Поэтому необходимо внедрить процессы для защиты данных от утечки или других проблем безопасности, чтобы не подвергать риску всех пользователей облака.
Криптография
Криптография и шифрование относятся к кодированию, проверке и защите данных. Примером может служить алгоритм AES ( ).
Безопасность инфраструктуры
Относится к безопасности физических носителей — от мобильных телефонов, настольных компьютеров и серверов до целых лабораторий, центров обработки данных и сетевых узлов.
Реагирование на инцидент
При подготовке к возможной утечке данных компании необходимо иметь план реагирования для сдерживания угрозы и восстановления сети. Он также должен включать систему сохранения данных — с отметками времени — для анализа и расследования кибератаки.
Управление уязвимостями
В современном быстром темпе системы компании нуждаются в частых проверках и обновлениях. Факторы риска включают устаревшее оборудование, незащищенные сети, человеческие ошибки, а также уязвимые личные устройства сотрудников. Организация может оценить уровень возможного риска для своих сетей с помощью продуманного плана оценки рисков.
Типы кибератак
Типы инцидентов и атак различаются по уровню сложности: от простых хакерских атак до сложных и тщательно спланированных долгосрочных атак.Фишинг
основаны на человеческих ошибках, поэтому обучение сотрудников имеет решающее значение для предотвращения утечки данных. Сотрудники должны знать, что нельзя нажимать на подозрительные ссылки или загружать файлы из неизвестных источников.
Брутфорс-атака
В этих атаках хакеры используют ПО для подбора комбинации паролей. Учитывая сложность инструментов взлома учетных данных, полагаться на комбинацию букв, символов и цифр уже недостаточно для обеспечения надежной защиты. Ограничение попыток входа в систему и включение являются лучшими мерами защиты от .
Вредоносное ПО
Вредоносное ПО заражает устройство без ведома пользователя. Сюда входят трояны, шпионские программы, программы-вымогатели и вирусы. Например, в 2021 году крупнейший поставщик нефти в США Colonial Pipeline программы-вымогателя и .
Атака Drive-By Download
В ходе этой атаки из браузера на целевую систему незаметно загружается вредоносный файл без ведома жертвы. Загрузка файла может происходить через рекламу, плавающий фрейм (iframe) или встроенный в сайт вредоносный скрипт.
SQL-инъекции
, при которой хакер помещает вредоносный код на сервер для управления базой данных компании. Цель атаки – получить доступ к конфиденциальным данным компании, таким как информация о клиентах и номера кредитных карт.
Межсайтовый скриптинг (Cross Site Scripting, XSS)
В ходе хакер использует уязвимости, вставляя вредоносный JavaScript-код в браузер пользователя, чтобы получить доступ к браузеру и конфиденциальной информации жертвы. Обычно XSS-атаки направлены на кражу личных данных, cookie-файлов, паролей и т.д.
Атака «человек посередине» (Man-in-the-Middle, MITM)
В злоумышленник внедряется в существующий процесс связи между двумя пользователями и незаметно перехватывает разговор или передачу данных путем подслушивания, либо притворяясь легальным участником. Целью MITM-атаки является получение конфиденциальной информации - данные банковского счета, номера банковских карт или учетные данные.
Атаки типа «отказ в обслуживании» (Denial of Service, DoS)
переполняет устройство или сеть потоком трафика, чтобы вывести систему из строя и лишить доступа реальных пользователей. Иногда хакеры инициируют DoS-атаку, чтобы проверить целостность системы.
Как обнаружить инциденты безопасности?
Существуют различные способы определить, находится ли ваша компания под угрозой киберинцидента. Различные типы инцидентов будут иметь разные маркеры для обнаружения.- Ищите аномалии трафика, попытки доступа к учетным записям без разрешения, чрезмерное использование и доступ к подозрительным файлам.
- Серверы, как правило, имеют относительно стабильный и постоянный объем трафика в зависимости от потребностей пользователей. Если наблюдается необычное увеличение трафика, компания должна выяснить причину и выявить возможность атаки.
- Основной вектор атаки для совершения утечки данных – это сотрудники, поэтому будьте внимательны к доступу работников и к тому, может ли кто-то из сотрудников использовать учетную запись для получения информации за пределами их области работы.
- Заметное увеличение использования памяти или жесткого диска значит, что кто-то использует их в злонамеренных целях или осуществляет утечку данных. Слишком большие файлы (явно несовместимые по размеру) могут содержать материалы, которые хакер пытается скрыть.
Распространенные векторы атак
Векторы атаки — это средства или пути, по которым хакер может скомпрометировать целевое устройство. Они основаны на уязвимостях системы и человеческих ошибках. Векторы атак включают:- электронную почту;
- скомпрометированные учетные данные;
- слабое шифрование;
- украденные физические носители;
- брутфорс-атаки;
- DoS-атаки;
- атаки вредоносных программ.
7 распространенных типов киберинцидентов и методы борьбы с ними
Каждый тип инцидента информационной безопасности имеет свой метод обработки, и все они являются важной частью строгой и всеобъемлющей стратегии информационной безопасности.1. Стороннее сканирование
Сканирование происходит, когда внешний субъект угрозы проводит разведку или проверяет безопасность сайта. Сканирование нельзя игнорировать, если IP-адрес принадлежит источнику с плохой репутацией или происходит много обращений с одного и того же IP-адреса. Если сканирование осуществляется из законного источника, вы можете связаться с его командой безопасности. Если вы не можете найти данные об источнике, выполните поиск WHOIS для получения подробной информации.
2. Заражение вредоносным ПО
Часто сканируйте системы на наличие признаков компрометации. Признаки вредоносного ПО включают в себя необычную системную активность – внезапная потеря памяти, необычно низкие скорости, повторяющиеся сбои или зависания, а также неожиданные всплывающие окна с рекламой. Используйте антивирусное ПО, которое может обнаруживать и удалять вредоносные программы.
3. DoS-атаки
DoS-атаки могут быть обнаружены по потоку трафика на ваш сайт. Нужно настроить свои серверы для борьбы с многочисленными HTTP-запросами и координировать свои действия с вашим интернет-провайдером для блокировки источников при возникновении атаки.
Кроме того, остерегайтесь диверсионной DoS-атаки, которая используется для отвлечения группы безопасности от реальной попытки взлома данных. Если DoS-атака приводит к сбою сервера, проблема обычно решается перезагрузкой. После этого перенастройка брандмауэров, маршрутизаторов и серверов может заблокировать будущие потоки трафика.
4. Несанкционированный доступ
Несанкционированный доступ часто используется для кражи конфиденциальной информации. Отслеживайте и расследуйте любые попытки несанкционированного доступа, особенно те, которые происходят в критической инфраструктуре с конфиденциальными данными. или , шифрование данных — это надежные меры защиты от несанкционированного доступа.
5. Нарушение внутренней безопасности
Необходимо убедиться, что сотрудники не злоупотребляют своим доступом к информации. Поддерживайте уровни доступа для работников в отношении доменов, серверов, приложений и важной информации, для которых у них есть разрешения.
Установите систему записи и уведомления о несанкционированных попытках доступа. Также установите ПО для мониторинга действия сотрудников – оно снижает риск внутренней кражи, выявляя инсайдеров и работников со злонамеренными целями.
6. Атака с повышением привилегий
Злоумышленник, который получает доступ к сети, часто использует повышение привилегий, чтобы получить возможности, которых нет у обычных пользователей. Обычно это происходит, когда хакер получает доступ к учетной записи с низкими привилегиями и хочет повысить привилегии для изучения системы компании или проведения атаки.
Для защиты от такого типа атак необходимо ограничить права доступа каждого пользователя, настроив их только для тех ресурсов, которые необходимы для выполнения задач ( ).
7. Усовершенствованная постоянная угроза
— это обозначение спонсируемой государством группы, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода времени, отслеживая сетевую активность и собирая данные жертвы.
Мониторинг входящего и исходящего трафика может помочь предотвратить извлечение конфиденциальной информации. Брандмауэры также помогают защитить сетевую информацию и могут предотвратить атаки с SQL-инъекцией, которые часто используются на ранней стадии APT-атаки.
