Практическая 2 Гришин. Практикум Цифровая безопасность. Подготовил Гришин Никита Гавриилович Как меняется ландшафт киберрисков в настоящее время

Название	Практикум Цифровая безопасность. Подготовил Гришин Никита Гавриилович Как меняется ландшафт киберрисков в настоящее время
Дата	28.10.2022
Размер	25.63 Kb.
Формат файла
Имя файла	Практическая 2 Гришин.docx
Тип	Практикум #759870

Лабораторный практикум № 2. Цифровая безопасность.

Подготовил: Гришин Никита Гавриилович

Как меняется ландшафт киберрисков в настоящее время?

Ландшафт угроз постоянно расширяется, а это означает, что группы по кибербезопасности все интенсивнее вынуждены работать над защитой организаций.

2.Выявите сферы применения сервисов по защите от киберрисков.

Художественные платформы, остроумное ведение каналов политиков и глобальных корпораций. Розничная торговля, реклама и поддержка клиентов также смещаются в онлайн-пространство. Поэтому важно помнить о рисках в сфере безопасности данных.

3.Приведите аргументы в пользу утверждения, что защита от цифровых рисков — это инвестиции, а не затраты.

Цифровая защита от рисков — упреждающая оборонительная стратегия. Она позволяет противостоять угрозам, избегать ненужных затрат, повышать эффективность и возмещать убытки. Именно по этим четырем областям DRP предлагает возврат инвестиций. Рассмотрим детальнее.

ROI 1: Избегание рисков

Как и большинство других элементов стратегии кибербезопасности, инвестиции в решение должны рассматриваться в контексте нежелательных расходов, которые может повлечь за собой взлом системы безопасности. Но это только одна часть преимущества. Одним из наиболее ценных аспектов DRP является визуализация собственного «цифрового следа» организации — важнейшего элемента для защиты бизнеса и репутации.

ROI 2: Снижение затрат

DRP решения автоматизируют многие задачи, связанные с выявлением, мониторингом цифровых угроз. Самостоятельные действия на местах по киберзащите покрывают такие задачи лишь частично по сравнению со специально разработанными, постоянно обновляемыми решениями. Лучшие DRP сервисы охватывают также Shadow IT (т.е. неавторизованные домены, приложения или устройства, создаваемые или используемые без уведомления ИТ-отдела) и Forgotten IT (например, старые целевые страницы веб-сайтов и архивированный контент), обеспечивая дополнительные возможности снижения затрат.

ROI 3: Повышение эффективности

Автоматизация, присущая цифровым решениям по защите от рисков быстрее и проще выявляет уязвимые места, повышая эффективность процесса. Идентификация и устранение Shadow и Forgotten IT дополнительно оптимизирует цифровое пространство предприятия, экономя ресурсы.

ROI 4: Получение дохода
Успешные кибератаки, фишинговые письма и поддельные сайты организации оказывают непосредственное негативное влияние на доходы, и, конечно, отрицательно влияют на репутацию. Цифровые решения по защите от рисков помогают снизить и эти риски, помогая максимально быстро выявлять и устранять незаконные или угрожающие действия.
Способы защиты
Forrester выделяет две основные задачи для любой организации, стремящейся снизить цифровые риски: во-первых, выявить, какие риски существуют, и, во-вторых, устранить их. Согласны с вами — на первый взгляд цели очевидны. Но на самом деле они предполагают определенную позицию касательно безопасности — более активную, чем реагирование на инциденты. Такой проактивный подход включает защиту от цифровых рисков в стратегию «разведки угроз».
Идея заключается не в том, чтобы построить стену вокруг города и держаться подальше от всего нежелательного, а в том, чтобы чувствовать себя в безопасности, свободно гуляя по миру, где вы знаете все, что вас окружает.

4.Выявите возможности защиты от цифровых рисков.

Цифровая защита от рисков — это один из аспектов программы управления информацией об угрозах. Рассмотрим элементы, составляющие категорию цифровых рисков.
Несанкционированное раскрытие данных
Включает в себя кражу или утечку любых конфиденциальных данных — личная финансовая информация клиентов розничной организации или исходный код собственной продукции технологической компании.
Выявление уязвимостей
Платформы e-commerce, криминальные форумы в даркнете или даже в открытой сети являются мощными источниками риска. Уязвимость, выявленная группой или отдельным человеком, который не может влиять на нее, находит путь к тому, кто сможет. Это включает в себя распространение эксплойтов как в целевых, так и в нецелевых атаках.
Проблемы в цепочке поставок
Бизнес-партнеры и все поставщики, взаимодействующие непосредственно с вашей организацией не обязательно следуют тем же правилам безопасности что и вы.
Технологические риски
Эта обширная категория включает в себя все риски, которые необходимо учитывать при работе с технологиями, от которых зависит бесперебойность организации. Сюда входит:
Физическая инфраструктура: Бесчисленные промышленные процессы, которые частично или полностью автоматизированы системами SCADA, DCS или PLC. К сожалению, автоматизация открывает сети для кибератак — пример тому — атака STUXNET, сорвавшая ядерную программу целой страны.
ИТ-инфраструктура: наиболее распространенный источник цифрового риска, включающий все потенциальные уязвимости в программном и аппаратном обеспечении. Эти риски растут с каждым днем в связи с подключением к Интернету вещей.
Публичное Интернет-присутствие: точки взаимодействия с клиентами и общественными организациями — социальные сети, рассылки по электронной почте или другие маркетинговые стратегии, представляют собой потенциальные источники риска.
Риск со стороны сотрудников
Даже самый надежный и не взламываемый замок можно легко открыть, если у вас есть ключ. Благодаря усилиям социальной инженерии, управлению и манипулированию идентификационными данными и вредоносным инсайдерским атакам от недовольных сотрудников, даже самую надежную программу кибербезопасности можно быстро подорвать.

5.Определите ключевые направления развития кибербезопасности.

Обнаружение фишинга
Фишинг — коварная проблема, и злоумышленники обожают его, потому что он эффективен. DRP включает в себя упреждающие меры, выявляющие и пресекающие атаки до того, как причинят вред. Отслеживая различные ключевые фишинговые показатели — зарегистрированные домены, изменения в записях MX и репутацию DNS, решение определяет вредоносные домены и быстро уничтожает сайты-подделки.

Приоритизация уязвимостей
Вручную соотносить данные об угрозах с уязвимостями собственной организации уже нереально. Слишком много используемых технологий, слишком много данных. DRP — это автоматизированный сбор уязвимостей, использующий данные отовсюду. Далее происходит структурирование этих массивов в реальном времени, позволяющие увидеть, что представляет наибольший риск.
Видимость в даркнете
Злоумышленники умны и анонимны, но все же видимы. DRP следит за их деятельностью во всех уголках Интернета — как они разведывают цели, используют подозрительные инструменты и сотрудничают с другими хакерами. Продвинутое DRP решение понимает, как думают киберпреступники и как развиваются угрозы, предоставляя вам шанс для проактивных действий. Между прочим, мониторинг и отслеживание веб-активности в даркнете — ключевая часть того, как обычно угрозы обнаруживаются и смягчаются.
Защита бренда
Вы потратили уйму времени и денег, создавая и строя свой бренд. Увы, хакеры тоже знают, насколько он ценен. DRP решение призвано сканировать внешние источники в поисках злонамеренного использования вашего бренда в мошеннических целях. Оно следит за вашими доменами, IP-адресами, мобильными приложениями и страницами в социальных сетях, чтобы выявить злоумышленников. А в случае обнаружения подозрительной активности мгновенно рассылает оповещения в рамках всей вашей организации, в отделы маркетинга, соблюдения нормативных требований, ИТ-отдел и службу безопасности.
Обнаружение мошенничества
У вас установлены все виды защиты периметра — брандмауэры, шлюзы, IDS/IPS и системы обнаружения вредоносного ПО, и возможно, вы даже предприняли шаги по интеграции и укреплению этих систем. Это круто! Проблема в том, что хакеры все равно обходят эту защиту, используя вместо этого мошенничество. Поэтому DRP решение должно следить за попытками создания фишинговых сайтов или продажи утекших учетных данных, информации о банковских счетах ваших клиентов и сотрудников. Мгновенные оповещения в реальном времени помогают предотвратить такие действия до их совершения, экономя организациям миллионные затраты каждый год.
Идентификация вредоносных мобильных приложений
Мобильные устройства и приложения расширяют охват аудитории. Но злоумышленники, возможно, уже создали мошеннические мобильные приложениями, за которыми ваша маркетинговая команда, скорее всего, не следит и не знает. DRP должно проверять различные магазины приложений — как легальные, так и пиратские, чтобы обнаруживать подозрительные приложения и инициировать их закрытие. Это возможно, если у решения существуют партнерские отношения с магазинами приложений.
Защита руководства
В прошлом руководители нуждались только в физической безопасности. В офисах для этого установлена сигнализация, охрана, иногда за высшим руководством закреплены телохранители. Теперь высшие чины сталкиваются с серьезными угрозами в сфере кибербезопасности. Так же, как и инвесторы, члены советов директоров и консультанты. DRP-программа должна сканировать онлайн-источники, чтобы находить и пресекать попытки подделать или скомпрометировать их личность и данные.
Автоматизированное уменьшение угроз
Учитывая масштабность потенциальных угроз и нехватку специалистов для их смягчения, автоматизация процесса устранения имеет решающее значение. Решение должно превращать данные в разведданные, а разведданные — в действия: блокирование и устранение угроз, аварийный сброс учетных данных и создание политик безопасности.
Мониторинг утечек и конфиденциальных данных
Защита данных клиентов и интеллектуальной собственности критически важна. DRP ищет украденные учетные и конфиденциальные данные, пароли и оповещает об их обнаружении. Лучший способ убедиться, что DRP действует согласно актуальной информации об учетных данных — интегрировать решение с Active Directory и Microsoft Exchange. Таким образом, при обнаружении утечки активные учетные данные будут сбрасываться.
Третьи стороны
Как будто защита собственных систем недостаточно сложна, нужно беспокоиться еще и о внешних источниках, которые, к тому же, тяжелее контролировать. Это поставщики, партнеры и инвесторы, которые являются частью вашего цифрового следа. Их кибер-риск — также и ваш. Поэтому DRP должно оценивать угрозы, с которыми сталкиваются сторонние организации, чтобы вы могли эффективно управлять цепью поставок.

6.Сравните рассмотренные продукты защиты от цифровых рисков на основе принципа «цена-функциональность».

ZeroFOX Platform

Благодаря глобальному механизму сбора данных, анализу на основе искусственного интеллекта и автоматизированной системе исправления, платформа ZeroFOX защищает от киберугроз, брендовых и физических угроз в социальных сетях и на цифровых платформах.

ZeroFOX выявляет и устраняет направленные фишинговые атаки, компрометацию учетных записей, перехват данных, угрозы местоположения. Запатентованная технология ZeroFOX SaaS ежедневно обрабатывает и защищает миллионы сообщений и аккаунтов в LinkedIn, Facebook, Slack, Twitter, Instagram, Pastebin, YouTube, магазинах мобильных приложений.

IP-адреса: да
URL-адреса: да
Угрозы категории TTPs: да
Хеш-суммы файлов: да
Домены: да
Ключи реестра: да
Номера карт: да
Телефонные номера: да
Индикаторы из социальных сетей: да
Защита мобильных приложений: да
Защита бренда: да
Утечка данных: N/A
Обогащение данных (рейтинги угроз, тегирование угроз, дополнительная и другая дополнительная информация): да
Способы взаимодействия: API
Формат данных: JSON, STIX, TAXII
Цена: от $390 в месяц

IntSights Threat Intelligence Platform (TIP)

IntSights Threat Intelligence Platform (TIP) помогает организациям централизовать данные из различных источников информации для обеспечения актуальности блок-списков.

IntSights революционизирует операции по обеспечению кибербезопасности, используя универсальную платформу защиты от внешних угроз для нейтрализации кибератак. Возможности киберразведки позволяют непрерывно отслеживать внешний цифровой профиль предприятия в сети и даркнет для выявления возникающих угроз, упреждающего реагирования

IP-адреса: да
URL-адреса: да
Угрозы категории TTPs: да
Хеш-суммы файлов: N/A
Домены: да
Ключи реестра: N/A
Номера карт: да
Телефонные номера: да
Индикаторы из социальных сетей: да
Защита мобильных приложений: N/A
Защита бренда: да
Утечка данных: N/A
Обогащение данных (рейтинги угроз, тегирование угроз, дополнительная и другая дополнительная информация): да
Способы взаимодействия: API
Формат данных: N/A
Цена: от $100,000 в год

Kaspersky Threat Intelligence

Threat Intelligence построен на опыте экспертов Касперского, которые собрали полную картину текущего состояния атак на клиентов, выявляя слабые места в периметре сети, угрозы со стороны киберпреступников, вредоносную деятельность и утечку данных.

Сервис доступен на портале Kaspersky Threat Intelligence Portal — единой точке доступа к данным о кибератаках. С помощью этого портала специалисты SOC получают не только актуальную информацию об угрозах, но и доступ к результатам глобальных исследований источников целевых атак. Это позволяет приоритизировать сигналы внутренних систем о неизвестных угрозах, сводя к минимуму время реагирования на инциденты, предотвращая компрометацию систем.

IP-адреса: да
URL-адреса: да
Угрозы категории TTPs: да
Хеш-суммы файлов: да
Домены: да
Ключи реестра: да
Номера карт: да
Телефонные номера: N/A
Индикаторы из социальных сетей: N/A
Защита мобильных приложений: N/A
Защита бренда: N/A
Утечка данных: N/A
Обогащение данных (рейтинги угроз, тегирование угроз, дополнительная и другая дополнительная информация): да
Способы взаимодействия: https
Формат данных: JSON, STIX, CSV, OpenIoC
Цена: от $100,000 в год

7.Основные типы компьютерных атак в кредитно-финансовой сфере РФ в 2019–2020гг.: перечислите и опишите.

В 2019–2020 годах основной и наиболее активной угрозой для клиентов организаций кредитно-финансовой сферы, являющихся юридическими лицами и индивидуальными предпринимателями и использующими персональные компьютеры для доступа к системам дистанционного банковского обслуживания (ДБО), продолжала оставаться группа злоумышленников, хорошо известная под наименованием RTM (сокращение от самоназвания Remote Transaction Manager, обнаруженного в коде ВПО). За 2019–2020 годы ФинЦЕРТ получил информацию о 225 атаках данной группы. В среднем фиксировалось 2–3 атаки еженедельно, что указывало на очень высокую интенсивность работы группы. Другие виды ВПО в целевых атаках на клиентов выявлялись в единичных количествах. Так, в январе и феврале 2019 года было четыре рассылки ВПО Buhtrap, ранее известного по атакам на программные средства АРМ КБР (Автоматизированное рабочее место клиента Банка России) ряда российских банков. А в октябре и ноябре 2020 года на фоне спада активности группы RTM было зафиксировано несколько рассылок ВПО, основным компонентом которого являлась утилита для удаленного доступа RMS. В декабре 2020 года был отмечен единичный случай рассылки ВПО, основным компонентом которого уже стала программа для удаленного доступа RAdmin. Вполне возможно, что инициатором этих атак была та же группа RTM, экспериментирующая с альтернативными инструментами. В марте 2019 года отмечена единичная рассылка по адресам клиентов финансовых организаций ВПО TeamBot, являющегося модифицированной версией популярной программы для удаленного администрирования компьютера TeamViewer. И все эти немногочисленные случаи только подчеркивали тотальное доминирование RTM. Большая часть выявленных случаев атак RTM относится к фишинговым кампаниям, в которых к сообщениям электронной почты прикреплялся архив, содержавший файл с так называемой полезной нагрузкой.