Кибератаки. Часть 1: Технические инструменты и способы реализации

Руслан Рахметов, Security Vision

По своим мотивам злоумышленники не похожи на белых хакеров, о которых мы писали ранее, но похожи на них инструментами, находчивостью и творческим подходом. Они постоянно совершенствуют свои навыки и изобретают что-то новое, поэтому их деятельность интересна не только для практической защиты, но и с точки зрения исследований и научных разработок.

Атаки хакеров на компании ежегодно увеличиваются в среднем на 20% (согласно статистике Solar и TrendMicro). Если же рассмотреть ситуацию в России, то по итогам 2023 года (в сравнении с предыдущим) произошло увеличение числа атак в 4 раза. Помимо количественного роста атаки развиваются и со стороны методологий, поэтому в этой статье мы расскажем про разные типы кибератак и способы защиты от них.

Для начала рассмотрим группу атак с использованием специальных программ. Они внедряются в компьютеры и мобильные устройства, распространяются между ними и проводят различные операции в зависимости от своего назначения. Действие таких программ можно сравнить с инфицированием во время пандемии или при употреблении термически необработанных продуктов, а их влияние сравнимо с подавлением иммунитета и повреждением отдельных органов или систем.

Поэтому бороться с такими атаками можно разными способами: мешать их внедрению в «клетки» компании и распространению, подавлять опасные механизмы влияния и своевременно выводить из «организма».

Мальварь (Malware)

Мальварь (Malware) - общее название для разных видов вредоносного программного обеспечения (ВПО) (троянские программы, шпионское и рекламное ПО, речь о которых пойдёт далее) с различными целями, методами распространения (например, через заражённые файлы, веб-сайты и электронную почту) и последствиями (включая кражу данных, утерю контроля над системой и др.).

Защиту в общем случае обеспечивают антивирусы, антиспам движки, брандмауэры, обновления программ а также использование брандмауэров для защиты сети и прокси-серверы для блокировки нежелательных веб-сайтов.

Вирус (Virus)

Это вредоносное программное обеспечение (ВПО), которое внедряется в информационные активы и распространяется между ними, повреждая отдельные файлы или действуя «без разбора» на крупные объекты. Цель – заражение файлов и систем. Метод распространения – между компьютерами и серверами. Последствия – повреждение и уничтожение файлов.

Для защиты используется антивирусное (с регулярным обновлением и проведением проверок. Обновление ОС и установленных программ также позволяет закрыть известные «бреши» в безопасности и предотвратить распространение и влияние вирусов.

Червь (Worm)

Компьютерные черви – это автономное ВПО (разновидность вирусов), которое способно распространяться автономно, без необходимости в хост-файлах или вредоносных обновлениях. Цель, методы распространения и последствия атак червей совпадают с вирусными.

Для защиты проводится блокирование ненадёжных портов и служб на сетевых устройствах с использованием брандмауэров и систем обнаружения аномалий в сети. Постоянное обновление и патчинг операционных систем и программ также помогает в обеспечении защиты.

Рэнсомвэр (Ransomware)

Тип программного обеспечения, который блокирует доступ к данным. Цель – требование выкупа доступа к данным. Метод распространения – через вредоносные вложения или ссылки. Последствия – потеря данных, необходимых для функционирования бизнеса или конфиденциальной информации клиентов, контрагентов и собственных сотрудников.

Чтобы обеспечить защиту, хранение данных разделяют по отдельным местам, ограничивают права доступа сотрудников с использованием IDM, проводят регулярные бэкапы (создание резервных копий данных) и блокируют выполнения макросов в документах.

Помимо классификации типов инструментов можно выделить различные типы кибератак с разделением по способам проникновения и влияния на инфраструктуру. Некоторые атаки действуют массово, другие – затрагивают конкретные сервисы и ИТ-системы.

Атаки на физическую инфраструктуру

Включают в себя попытки взлома или управления физическими системами управления зданиями и промышленными объектами. Метод распространения – создание физического контроля доступа к инфраструктуре, например, с применением backdoor и эксплуатации уязвимостей (см. далее). Последствия – различные в зависимости от атакуемых объектов, но отдельное внимание стоит уделить атакам на критическую инфраструктуру (энергетика, водоснабжение, транспорт и др. объекты, имеющие серьёзные последствия на большие группы населения, целые города и регионы.

Защититься от таких атак каким-то единым способом достаточно сложно, поэтому регулятор ФСТЭК разработал рекомендации и строгие правила по защите объектов критической информационной инфраструктуры (ОКИИ). С целью обеспечения безопасности проводятся регулярное обучение сотрудников (повышение осведомлённости), тестирования на проникновение (о которых мы рассказывали отдельно), аудиты безопасности (например, согласно 187-ФЗ для ОКИИ), а также используются системы видеонаблюдения (физическая безопасность).

Сетевые атаки

Это попытки несанкционированного доступа к компьютерным сетям с целью кражи информации, разрушения данных или даже создании отдельного лёгкого доступа (backdoor) «на будущее». Отдельная разновидность таких атак – воздействие на объекты Интернета Вещей (IoT), умные устройства в доме или предприятии с целью контроля или использования их для сетевых атак, в том числе DDoS.

Способы распространения и борьбы зависят от типов сетей, о которых мы уже рассказывали ранее, поэтому обеспечивать защиту рекомендуется точечно, в зависимости от выбранной модели построения сетей.

Атаки на отказ обслуживания (DDoS)

Представляют собой нападение на компьютерные системы или сети с целью перегрузки ресурсов и создания таких условий, в которых система вместо выполнения полезных запросов «отвлекается» на искусственно созданные. Цель – остановка сервисов обслуживания клиентов или внутренней работы.

Метод распространения – применение ботнет-сетей, источников «мусорных» запросов. Последствия – остановка сервисов, доступных широкому кругу лиц, например, интернет-магазина или сайта банка.

Бороться с DDoS-атаками можно путём мониторинга трафика для выявления аномалий, разработок планов реагирования и применения специальных анти-DDoS сервисов.

Атаки с использованием уязвимостей (Exploiting Vulnerabilities)

Атаки на слабые места в безопасности пытаются получить несанкционированный доступ к данным при помощи слабых мест в окружении. Метод распространения – точечно, затрагивая необновлённые ОС и ПО. Последствия – эксплуатация уязвимостей для получения доступа и кражи данных.

Чтобы защищаться от таких атак, необходимо проводить регулярные обновления системы и/или программ на АРМ и серверах и оперативно устранять уязвимости.

Различия кибератак демонстрируют многообразие методов и целей, возникает необходимость комплексного подхода к кибербезопасности, включая организационные и образовательные меры. С технической стороны компаниям для эффективной защиты необходимо применять системы различных классов вместе, в рамках единой и чётко функционирующей экосистемы. Для создания такой экосистемы можно использовать нативно связанные продукты, например, одного крупного разработчика, но из-за конкурентных отличий такой подход генерирует новые риски:

- одна проблема может повлиять на целую группу средств защиты;
- необходимого решения может не быть в портфеле одного вендора;
- уход разработчика с рынка может вызвать остановку работы сервисов и сделать невозможным получение важных обновлений.

Поэтому часто для эффективной защиты строятся сложные многовендорные системы, а для обеспечения передачи информации из одного решения в другое можно применять SOAR продукты. Также можно применять платформенные решения для создания единого интерфейса с удобным доступом ко всем данным, необходимым аналитикам, ИТ-специалистам, сотрудникам отдела управления рисками и всем остальным пользователям согласно ролевой модели.