лаб%20пр3. Практикум 3 Задание 1

Название	Практикум 3 Задание 1
Дата	28.04.2023
Размер	28.8 Kb.
Формат файла
Имя файла	лаб%20пр3.docx
Тип	Практикум #1095029

Лабораторный практикум № 3

Задание 1.

Вторая половина 2020 года продемонстрировала беспрецедентные изменения ландшафта киберугроз: злоумышленники максимально увеличивают площадь атак, чтобы масштабировать угрозы по всему миру. Противники оказались очень гибкими, создавая волны разрушительных и изощренных атак.

«От начала и до конца 2020 года мы были свидетелями драматического развития событий в рамках ландшафта киберугроз. Хотя пандемия играла центральную роль, в течение года кибер-злоумышленники начали проводить атаки со все более разрушительными последствиями. Они максимально расширили поверхность цифровой атаки за пределами базовой сети, чтобы нацелиться на удаленную работу или обучение, а также на цифровую цепочку поставок. Риски кибербезопасности никогда не были такими большими, поскольку все взаимосвязано в более крупной цифровой среде. Интегрированные и основанные на искусственном интеллекте платформенные подходы, основанные на действенной аналитике угроз, жизненно важны для защиты со всех сторон, а также для выявления и устранения угроз, с которыми организации сталкиваются сегодня в режиме реального времени», – комментирует Дерек Мэнки, руководитель отдела аналитики безопасности и Global Threat Alliances, FortiGuard Labs.

Задание 2.

Ландшафт угроз постоянно расширяется, а это означает, что группы по кибербезопасности все интенсивнее вынуждены работать над защитой организаций. Мы собрали десятку наглядных примеров для демонстрации сферы применения сервисов по защите от рисков.

Обнаружение фишинга.

DRP включает в себя упреждающие меры, выявляющие и пресекающие атаки до того, как причинят вред. Отслеживая различные ключевые фишинговые показатели — зарегистрированные домены, изменения в записях MX и репутацию DNS, решение определяет вредоносные домены и быстро уничтожает сайты-подделки.

Приоритизация уязвимостей.

Вручную соотносить данные об угрозах с уязвимостями собственной организации уже нереально. Слишком много используемых технологий, слишком много данных. DRP — это автоматизированный сбор уязвимостей, использующий данные отовсюду. Далее происходит структурирование этих массивов в реальном времени, позволяющие увидеть, что представляет наибольший риск.

Видимость в даркнете.

Злоумышленники умны и анонимны, но все же видимы. DRP следит за их деятельностью во всех уголках Интернета — как они разведывают цели, используют подозрительные инструменты и сотрудничают с другими хакерами.

Защита бренда.

DRP решение призвано сканировать внешние источники в поисках злонамеренного использования вашего бренда в мошеннических целях. Оно следит за вашими доменами, IP-адресами, мобильными приложениями и страницами в социальных сетях, чтобы выявить злоумышленников. А в случае обнаружения подозрительной активности мгновенно рассылает оповещения в рамках всей вашей организации, в отделы маркетинга, соблюдения нормативных требований, ИТ-отдел и службу безопасности.

Обнаружение мошенничества.

DRP решение должно следить за попытками создания фишинговых сайтов или продажи утекших учетных данных, информации о банковских счетах ваших клиентов и сотрудников.

Идентификация вредоносных мобильных приложений.

DRP должно проверять различные магазины приложений — как легальные, так и пиратские, чтобы обнаруживать подозрительные приложения и инициировать их закрытие.

Защита руководства.

DRP-программа должна сканировать онлайн-источники, чтобы находить и пресекать попытки подделать или скомпрометировать их личность и данные.

Автоматизированное уменьшение угроз.

Решение должно превращать данные в разведданные, а разведданные — в действия: блокирование и устранение угроз, аварийный сброс учетных данных и создание политик безопасности.

Мониторинг утечек и конфиденциальных данных.

DRP ищет украденные учетные и конфиденциальные данные, пароли и оповещает об их обнаружении.

Третьи стороны.

DRP должно оценивать угрозы, с которыми сталкиваются сторонние организации, чтобы вы могли эффективно управлять цепью поставок.

Задание 3.

Цифровая защита от рисков — упреждающая оборонительная стратегия. Она позволяет противостоять угрозам, избегать ненужных затрат, повышать эффективность и возмещать убытки. Именно по этим четырем областям DRP предлагает возврат инвестиций.

Задание 4.

1. ZeroFOX Platform.

Благодаря глобальному механизму сбора данных, анализу на основе искусственного интеллекта и автоматизированной системе исправления, платформа ZeroFOX защищает от киберугроз, брендовых и физических угроз в социальных сетях и на цифровых платформах.

2. IntSights Threat Intelligence Platform (TIP).

IntSights Threat Intelligence Platform (TIP) помогает организациям централизовать данные из различных источников информации для обеспечения актуальности блок-списков.

3. Kaspersky Threat Intelligence.

“Лаборатория Касперского” разработала портал Kaspersky Threat Intelligence (KTI), который дает доступ ко всем накопленным за 20-ти летний опыт работы компании знаниям. Это предоставляет центрам обеспечения безопасности самую актуальную информацию об угрозах.

4. Group-IB Threat Intelligence.

Решение Group-IB Threat Intelligence предоставляется в виде сервиса по подписке и реализует мониторинг, анализ и прогнозирование угроз для организации, партнеров и клиентов.

5. Digital Shadows SearchLight.

Минимизирует цифровой риск, выявляя нежелательное воздействие и защищая от внешних угроз. Обнаруживает потерю данных, защищает интернет-бренд и снижает поверхность атак.

6. RiskIQ Illuminate.

Платформа RiskIQ обеспечивает видимость, понимание и контроль эксплойтов, атак, автоматизирует обнаружение внешних угроз для защиты от направленных атак.

Задание 5.

1. Риски кибербезопасности при удаленной работе.

Защита домашних офисов, как правило, гораздо ниже, чем централизованных, которые обычно оснащены сетевыми экранами и маршрутизаторами, а управление доступами регулируется группой ИТ-безопасности. Переход на удаленную работу осуществлялся в спешке, чтобы не нарушать рабочие процессы, и проверка безопасности могла выполняться менее строго, чем обычно. Этим могут воспользоваться киберпреступники.

2. Развитие интернета вещей.

Развитие интернета вещей создает новые возможности для киберпреступников. Интернет вещей относится к физическим устройствам, отличным от компьютеров, телефонов и серверов, которые подключаются к интернету и обмениваются данными. Примеры таких устройств – фитнес-трекеры, умные холодильники, умные часы и голосовые помощники, такие как Amazon Echo и Google Home.

3. Рост количества программ-вымогателей.

Программы-вымогатели – это не новая угроза, они существуют уже около двух десятилетий, и рост их количества продолжается. По оценкам, в настоящее время существует более 120 семейств программ-вымогателей, а злоумышленники в совершенстве овладели искусством сокрытия вредоносного кода.

4. Увеличение количества облачных сервисов и угроз безопасности облачной инфраструктуры.

Помимо утечки данных, организации сталкиваются со следующими проблемами сетевой и облачной безопасности:
Обеспечение соответствия нормативным требованиям в разных юрисдикциях.
Обеспечение достаточного опыта в ИТ для удовлетворения требований облачных вычислений.
Проблемы перехода на облачную инфраструктуру.
Контроль большего количества потенциальных точек входа для злоумышленников.
Внутренние угрозы, как случайные, так и преднамеренные, вызванные несанкционированным удаленным доступом, ненадежными паролями, незащищенными сетями и неправомерным использованием личных устройств.

5. «Умные» атаки социальной инженерии.

Атаки социальной инженерии, такие как фишинг, не являются новыми, но представляют серьезные угрозы в условиях широко распространившейся в последнее время удаленной работы. Злоумышленники нацелены на сотрудников, подключающихся к сети работодателя из дома, поскольку они являются наиболее легкими жертвами. Помимо традиционных фишинговых атак на сотрудников, наблюдался всплеск атак на руководство организации.

6. Конфиденциальность данных как дисциплина.

Многочисленные громкие кибератаки привели к раскрытию миллионов записей идентификационной информации. Наряду с этим, в мире принимаются более строгие законы о защите данных, такие как Общий регламент по защите данных (GDPR), принятый в Евросоюзе, что свидетельствует о росте приоритета конфиденциальности данных.

7. Совершенствование многофакторной аутентификации.

Многофакторная аутентификация считается золотым стандартом аутентификации. Однако злоумышленники находят новые способы ее обхода, в частности, аутентификации с помощью SMS или телефонного звонка. В 2020 году Microsoft рекомендовал пользователям прекратить использование многофакторной аутентификации по телефону, а вместо этого использовать аутентификаторы на основе приложений и ключи безопасности.

8. Активный рост искусственного интеллекта.

В результате организации все чаще обращаются к искусственному интеллекту и машинному обучению в целях оптимизации инфраструктуры безопасности. Это позволяет снизить потери: пострадавшие от утечки данных организации, у которых была полностью развернута технология искусственного интеллекта, сэкономили в среднем 3,58 миллиона долларов в 2020 году.

9. Мобильная кибербезопасность выходит на первый план.

Мобильные угрозы включают следующие:

Специализированное шпионское ПО для слежки за приложениями для обмена зашифрованными сообщениями.
Использование критических уязвимостей безопасности на устройствах Android.
Мобильное вредоносное ПО с различными возможными сценариями применения, от распределенных атак типа «отказ в обслуживании» (DDoS) до SMS-спама и кражи данных.

Задание 6.

	ZeroFOX Platform.	IntSights Threat Intelligence Platform (TIP).	Kaspersky Threat Intelligence.	Group-IB Threat Intelligence.	Digital Shadows SearchLight.	RiskIQ Illuminate.
IP-адреса	Да	Да	Да	Да	Да	Да
URL-адреса	Да	Да	Да	Да	Да	Да
Угрозы категории TTPs	Да	Да	Да	Да	Да	N/A
Хеш-суммы файлов	Да	N/A	Да	Да	Да	Да
Домены	Да	Да	Да	Да	Да	Да
Ключи реестра	Да	N/A	Да	N/A	Да	Да
Номера карт	Да	Да	Да	N/A	Да	Да
Телефонные номера	Да	Да	N/A	N/A	Да	N/A
Индикаторы из социальных сетей	Да	Да	N/A	Да	Да	Да
Защита мобильных приложений	Да	N/A	N/A	N/A	Да	Да
Защита бренда	Да	Да	N/A	Да	Да	Да
Утечка данных	N/A	N/A	N/A	N/A	Да	Да
Обогощение данных	Да	Да	Да	Да	Да	Да
Способы взаимодействия	API	API	https	API	API	API
Формат данных	JSON, STIX, TAXII	N/A	JSON, STIX, CSV, OpenIoC	STIX	JSON, XML, STIX, CSV	JSON, XML, STIX, CSV
Цена	от $390 в месяц	от $100,000 в год	от $100,000 в год	от от $150,000 в год	от $5600 в месяц	N/A

Задание 7.

Атаки на информационную инфраструктуру организаций кредитно-финансовой сферы Российской Федерации.

в 2019 году почти все эти традиционные схемы остались безрезультатными, за исключением единичных случаев с небольшим ущербом. И конечно, атаки непосредственно на инфраструктуру финансовых организаций не ограничивались только указанными вредоносными инструментами. В течение года ФинЦЕРТ получал информацию от участников обмена о выявлявшихся случаях целевых атак на финансовые организации с использованием иных, менее распространенных или не столь раскрученных семейств ВПО, преимущественно класса RAT (Remote Access Tool). В частности, выявлялись AsyncRAT, TeamBot (модифицированный Team Viewer) и некоторые неопознанные, предположительно приватные инструменты.

При этом такие рассылки могли быть достаточно опасными, поскольку получателей умело вводили в заблуждение. Так, кампании по распространению ВПО AsyncRAT велись с использованием названий ряда поднадзорных организаций.

В целом 2019–2020 годы оказались для финансовых организаций более безопасными с точки зрения целевых атак на инфраструктуру с использованием ВПО.

Атаки на информационную инфраструктуру клиентов организаций кредитно-финансовой сферы Российской Федерации.

Специфика информационного обмена ФинЦЕРТ и поднадзорных организаций подразумевает в первую очередь передачу информации об угрозах самим организациям. Клиенты этих организаций не имеют возможности напрямую отправлять информацию об атаках в ФинЦЕРТ, и, следовательно, мы не можем владеть полностью ситуацией вне пределов действия поднадзорных организаций. Однако на большом объеме поступающих данных, а также в результатах исследований следы работы других групп были бы в любом случае заметны и какие-либо образцы используемого ими ВПО поступали бы. Таким образом, группа RTM остается не только особо опасной, но и представляет наиболее актуальную угрозу для клиентов финансовых организаций – юридических лиц и индивидуальных предпринимателей.

Атаки с использованием программ-шифровальщиков.

Основной способ распространения программ-шифровальщиков – рассылка по электронной почте сообщений, содержащих во вложении вредоносный исполняемый файл либо имеющих в тексте самого сообщения ссылку на скачивание данного файла.

Однако длившаяся почти полтора года кампания по распространению шифровальщика Troldesh закончилась в декабре 2019 года. Его операторы перестали выпускать новые версии вымогателя и опубликовали около 750 тыс. ключей дешифрования, на основе которых затем были созданы дешифроваторы. В 2020 году массовых кампаний больше не отмечалось и выявлялись лишь отдельные факты получения участниками информационного обмена ФинЦЕРТ рассылок с приложением программ-шифровальщиков.

Атаки типа «отказ в обслуживании».

За отчетный период ФинЦЕРТ получил 221 сообщение от участников информационного обмена об инцидентах, связанных с атаками типа «отказ в обслуживании» (DoS). В результате анализа полученных сообщений выявлен рост атак с типом TCP-SYN (SYN Flood, или атака «переполнения SYN-пакетами»). При атаке с помощью переполнения SYNпакетами используется «трехстороннее рукопожатие» по протоколу TCP, чтобы вызвать сбои в работе сети и сервисов. Поскольку инициатором «трехстороннего рукопожатия» TCP всегда является клиент, то он первым отправляет пакет с флагом SYN серверу.

Проведение DoS-атак в этих случаях являлось хорошо известным приемом сокрытия в общем трафике следов работы сетевых сканеров уязвимостей, что может говорить о начальном этапе сложных целевых атак. Атаки прикладного уровня на веб-сервисы характеризуются максимальным таргетированием всех запущенных сервисов сайта. Другими словами, в ходе атаки достигается полное покрытие всех работающих сервисов и поддоменов сайта организации. Целью ее проведения является повышение эффективности реализации основной атаки и усложнение устранения ее последствий.

Атаки на банкоматы.

ФинЦЕРТ в 2019–2020 годах получил 17 сообщений от участников информационного обмена о различных атаках на банкоматы.

На основе проведенного анализа было выявлено, что злоумышленники чаще всего (44% всех случаев) использовали различные приспособления для вскрытия (отжима) дверцы банкомата с последующим извлечением и хищением банкоматных кассет с денежными средствами. 32% случаев связаны с кеш-треппингом (cash trapping), что дословно означает «захват наличности». Злоумышленники используют обычные алюминиевые планки, в большинстве случаев изготовленные из деталей мебельной фурнитуры.

Однако чаще всего (60% всех зафиксированных случаев) злоумышленники используют более «шумные» методы – газовые баллоны для проведения подрыва дверцы банкомата и иные средства физического воздействия с целью извлечения кассет с денежными средствами.