Атаки на коммутаторы, принцип атаки и методы защиты

Обновлено: 21.11.2024

Информационная безопасность (иногда называемая InfoSec) охватывает инструменты и процессы, которые организации используют для защиты информации. Сюда входят параметры политики, которые предотвращают доступ неавторизованных лиц к деловой или личной информации. Информационная безопасность — это растущая и развивающаяся область, охватывающая широкий спектр областей, от безопасности сети и инфраструктуры до тестирования и аудита.

Информационная безопасность защищает конфиденциальную информацию от несанкционированных действий, включая проверку, модификацию, запись и любое нарушение или уничтожение. Цель состоит в том, чтобы обеспечить безопасность и конфиденциальность критически важных данных, таких как данные учетной записи клиента, финансовые данные или интеллектуальная собственность.

Последствия инцидентов безопасности включают кражу частной информации, фальсификацию данных и удаление данных. Атаки могут нарушить рабочие процессы и нанести ущерб репутации компании, а также повлечь за собой ощутимые затраты.

Организации должны выделять средства на обеспечение безопасности и быть готовыми к обнаружению, реагированию и упреждающему предотвращению таких атак, как фишинг, вредоносное ПО, вирусы, вредоносные инсайдеры и программы-вымогатели.

Каковы 3 принципа информационной безопасности?

Основными принципами информационной безопасности являются конфиденциальность, целостность и доступность. Каждый элемент программы информационной безопасности должен быть разработан для реализации одного или нескольких из этих принципов. Вместе они называются Триадой ЦРУ.

Конфиденциальность

Меры конфиденциальности предназначены для предотвращения несанкционированного раскрытия информации. Цель принципа конфиденциальности состоит в том, чтобы сохранить личную информацию в тайне и гарантировать, что она видна и доступна только тем лицам, которые владеют ею или нуждаются в ней для выполнения своих организационных функций.

Целостность

Непротиворечивость включает защиту от несанкционированных изменений (добавление, удаление, изменение и т. д.) данных. Принцип целостности гарантирует, что данные точны и надежны и не будут изменены неправильно, случайно или злонамеренно.

Доступность

Доступность — это защита способности системы обеспечивать полную доступность программных систем и данных, когда они нужны пользователю (или в указанное время). Цель доступности — сделать технологическую инфраструктуру, приложения и данные доступными, когда они необходимы для организационного процесса или для клиентов организации.

Триада ЦРУ определяет три ключевых принципа безопасности данных

Ключевые результаты исследования инсайдерских угроз Forrester за 2021 г.

Информационная безопасность и кибербезопасность

Информационная безопасность отличается от кибербезопасности как масштабом, так и целью. Эти два термина часто используются взаимозаменяемо, но, точнее, кибербезопасность — это подкатегория информационной безопасности. Информационная безопасность — это широкая область, охватывающая множество областей, таких как физическая безопасность, безопасность конечных точек, шифрование данных и сетевая безопасность. Он также тесно связан с обеспечением безопасности информации, которая защищает информацию от таких угроз, как стихийные бедствия и отказы серверов.

Кибербезопасность в первую очередь направлена ​​на борьбу с угрозами, связанными с технологиями, с помощью методов и инструментов, которые могут предотвратить или смягчить их. Другая связанная с этим категория – безопасность данных, в которой основное внимание уделяется защите данных организации от случайного или злонамеренного доступа к ним неуполномоченных лиц.

Политика информационной безопасности

Политика информационной безопасности (ISP) — это набор правил, которыми руководствуются пользователи при использовании ИТ-ресурсов. Компании могут создавать политики информационной безопасности, чтобы сотрудники и другие пользователи соблюдали протоколы и процедуры безопасности. Политики безопасности предназначены для обеспечения того, чтобы только авторизованные пользователи могли получить доступ к конфиденциальным системам и информации.

Создание эффективной политики безопасности и принятие мер по обеспечению ее соответствия — важный шаг на пути к предотвращению и устранению угроз безопасности. Чтобы сделать вашу политику действительно эффективной, часто обновляйте ее с учетом изменений в компании, новых угроз, выводов, сделанных на основе предыдущих нарушений, а также изменений в системах и инструментах безопасности.

Сделайте свою стратегию информационной безопасности практичной и разумной. Чтобы удовлетворить потребности и срочность различных отделов внутри организации, необходимо развернуть систему исключений с процессом утверждения, позволяющую отделам или отдельным лицам отклоняться от правил в определенных обстоятельствах.

Основные угрозы информационной безопасности

Существуют сотни категорий угроз информационной безопасности и миллионы известных векторов угроз.Ниже мы рассмотрим некоторые из ключевых угроз, которые являются приоритетными для групп безопасности на современных предприятиях.

Небезопасные или плохо защищенные системы

Скорость и развитие технологий часто приводят к компромиссам в мерах безопасности. В других случаях системы разрабатываются без учета требований безопасности и остаются в эксплуатации в организации как унаследованные системы. Организации должны выявлять эти плохо защищенные системы и снижать угрозу, защищая их или исправляя их, выводя из эксплуатации или изолируя.

Атаки в социальных сетях

У многих людей есть аккаунты в социальных сетях, где они часто непреднамеренно делятся большим количеством информации о себе. Злоумышленники могут запускать атаки непосредственно через социальные сети, например, распространяя вредоносное ПО через сообщения в социальных сетях, или косвенно, используя информацию, полученную с этих сайтов, для анализа пользовательских и организационных уязвимостей и использования их для разработки атаки.

Социальная инженерия

Социальная инженерия включает в себя отправку злоумышленниками электронных писем и сообщений, которые обманом заставляют пользователей выполнять действия, которые могут поставить под угрозу их безопасность или раскрыть личную информацию. Злоумышленники манипулируют пользователями, используя психологические триггеры, такие как любопытство, безотлагательность или страх.

Поскольку источник сообщения социальной инженерии кажется надежным, люди с большей вероятностью согласятся, например, нажав на ссылку, которая устанавливает вредоносное ПО на их устройство, или предоставив личную информацию, учетные данные или финансовые сведения.

Организации могут смягчить последствия социальной инженерии, информируя пользователей о связанных с ней опасностях и обучая их выявлять и избегать подозрительных сообщений социальной инженерии. Кроме того, технологические системы могут использоваться для блокировки социальной инженерии в ее источнике или предотвращения выполнения пользователями опасных действий, таких как нажатие на неизвестные ссылки или загрузка неизвестных вложений.

Вредоносное ПО на конечных устройствах

Пользователи организации работают с большим количеством конечных устройств, включая настольные компьютеры, ноутбуки, планшеты и мобильные телефоны, многие из которых находятся в частной собственности и не контролируются организацией, и все они регулярно подключаются к Интернету.< /p>

Основной угрозой для всех этих конечных точек является вредоносное ПО, которое может передаваться различными способами, может привести к компрометации самой конечной точки, а также может привести к повышению привилегий на другие системы организации.

Традиционного антивирусного программного обеспечения недостаточно для блокировки всех современных форм вредоносного ПО, и разрабатываются более продвинутые подходы к защите конечных точек, такие как обнаружение и реагирование конечных точек (EDR).

Отсутствие шифрования

Процессы шифрования кодируют данные таким образом, что их могут расшифровать только пользователи с секретными ключами. Он очень эффективен для предотвращения потери или повреждения данных в случае потери или кражи оборудования или в случае компрометации организационных систем злоумышленниками.

К сожалению, эту меру часто упускают из виду из-за ее сложности и отсутствия юридических обязательств, связанных с ее надлежащей реализацией. Организации все чаще внедряют шифрование, покупая устройства хранения или используя облачные сервисы, поддерживающие шифрование, или используя специальные инструменты безопасности.

Неправильная настройка безопасности

Современные организации используют огромное количество технологических платформ и инструментов, в частности веб-приложения, базы данных и приложения "программное обеспечение как услуга" (SaaS) или "инфраструктура как услуга" (IaaS) от таких поставщиков, как Amazon Web Services.

Платформы корпоративного уровня и облачные сервисы имеют функции безопасности, но они должны быть настроены организацией. Неправильная настройка безопасности из-за небрежности или человеческой ошибки может привести к нарушению безопасности. Еще одна проблема — «дрейф конфигурации», когда правильная конфигурация безопасности может быстро устареть и сделать систему уязвимой без ведома ИТ-специалистов или сотрудников службы безопасности.

Организации могут смягчить неправильную настройку безопасности, используя технологические платформы, которые постоянно отслеживают системы, выявляют пробелы в конфигурации и предупреждают или даже автоматически устраняют проблемы с конфигурацией, которые делают системы уязвимыми.

Активные и пассивные атаки

Информационная безопасность предназначена для защиты организаций от вредоносных атак. Существует два основных типа атак: активные и пассивные. Считается, что активные атаки сложнее предотвратить, и основное внимание уделяется их обнаружению, смягчению последствий и восстановлению после них. Пассивные атаки легче предотвратить с помощью надежных мер безопасности.

Активная атака

Активная атака включает в себя перехват сообщения или сообщения и изменение его для злонамеренного воздействия. Существует три распространенных варианта активной атаки:

  • Прерывание — злоумышленник прерывает исходное общение и создает новые вредоносные сообщения, выдавая себя за одну из сторон общения.
  • Модификация. Злоумышленник использует существующие коммуникации и либо воспроизводит их, чтобы обмануть одну из сторон, либо модифицирует их, чтобы получить преимущество.
  • Фабрикация — создание фальшивых или искусственных сообщений, как правило, с целью добиться отказа в обслуживании (DoS). Это не позволяет пользователям получать доступ к системам или выполнять обычные операции.

Пассивная атака

При пассивной атаке злоумышленник отслеживает, контролирует систему и незаконно копирует информацию, не изменяя ее. Затем они используют эту информацию для нарушения работы сетей или компрометации целевых систем.

Злоумышленники не вносят никаких изменений в связь или целевые системы. Это затрудняет обнаружение. Однако шифрование может помочь предотвратить пассивные атаки, поскольку оно запутывает данные, затрудняя их использование злоумышленниками.

Активные атаки Пассивные атаки
Изменение сообщений, коммуникаций или данных Не вносите никаких изменений в данные или системы
Представляет угрозу доступности и целостности конфиденциальных данных Представляет угрозу конфиденциальности конфиденциальных данных.
Может привести к повреждению систем организации. Не наносит прямого ущерба системам организации.
Жертвы обычно знают об атаке Жертвы обычно не знают об атаке.
Основное внимание безопасности уделяется обнаружению и смягчению последствий. . Главное внимание безопасности уделяется предотвращению.

Законы об информационной безопасности и защите данных

Информационная безопасность находится в постоянном взаимодействии с законами и правилами мест, где организация ведет бизнес. Правила защиты данных во всем мире сосредоточены на повышении конфиденциальности личных данных и накладывают ограничения на то, как организации могут собирать, хранить и использовать данные клиентов.

Конфиденциальность данных сосредоточена на информации, позволяющей установить личность (PII), и в первую очередь связана с тем, как данные хранятся и используются. PII включает в себя любые данные, которые могут быть напрямую связаны с пользователем, такие как имя, идентификационный номер, дата рождения, физический адрес или номер телефона. Сюда также могут входить такие артефакты, как сообщения в социальных сетях, изображения профиля и IP-адреса.

Законы о защите данных в Европейском союзе (ЕС): GDPR

Наиболее известным законом о конфиденциальности в ЕС является Общий регламент по защите данных (GDPR). Этот регламент распространяется на сбор, использование, хранение, безопасность и передачу данных, касающихся резидентов ЕС.

Регламент GDPR применяется к любой организации, ведущей бизнес с гражданами ЕС, независимо от того, находится ли сама компания в Европейском союзе или за его пределами. Нарушение правил может привести к штрафу в размере до 4 % от мировых продаж или до 20 млн евро.

  • Установление конфиденциальности личных данных в качестве основного права человека
  • Выполнение требований к критериям конфиденциальности
  • Стандартизация применения правил конфиденциальности

GDPR включает защиту следующих типов данных:

Законы о защите данных в США

Несмотря на введение некоторых правил, в настоящее время в США нет федеральных законов, регулирующих конфиденциальность данных в целом. Однако некоторые правила защищают определенные типы или использование данных. К ним относятся:

  • Закон о Федеральной торговой комиссии — запрещает организациям обманывать потребителей в отношении политики конфиденциальности, неспособности обеспечить надлежащую защиту конфиденциальности клиентов и вводящей в заблуждение рекламы.
  • Закон о защите конфиденциальности детей в Интернете регулирует сбор данных, касающихся несовершеннолетних.
  • Закон о переносимости и учете медицинского страхования (HIPAA) регулирует хранение, конфиденциальность и использование медицинской информации.
  • Закон Грэмма-Лича-Блайли (GLBA) регулирует сбор и хранение личной информации финансовыми учреждениями и банками.
  • Закон о достоверной кредитной отчетности – регулирует сбор, использование и доступность кредитных записей и информации.

Кроме того, Федеральная торговая комиссия (FTC) отвечает за защиту пользователей от мошеннических или недобросовестных транзакций, таких как безопасность данных и конфиденциальность. Федеральная торговая комиссия может принимать нормативные акты, обеспечивать соблюдение законов, наказывать за нарушения и расследовать организационные мошенничества или предполагаемые нарушения.

Помимо федеральных правил, 25 штатов США приняли различные законы для регулирования данных. Самый известный пример — Калифорнийский закон о конфиденциальности потребителей (CCPA). Закон вступил в силу в январе 2020 г. и обеспечивает защиту жителей Калифорнии, в том числе право на доступ к личной информации, запрос на удаление личной информации и отказ от сбора или перепродажи данных.

Существуют также другие региональные правила, такие как:

  • Австралийский орган пруденциального надзора (APRA), CPS 234
  • Закон Канады о защите личной информации и электронных документов (PIPEDA)
  • Закон Сингапура о защите персональных данных (PDPA)

Узнайте, как решения Imperva Data Security Solutions могут помочь вам в обеспечении информационной безопасности.

Информационная безопасность с Imperva

Imperva помогает организациям любого размера внедрять программы информационной безопасности и защищать конфиденциальные данные и активы.

Безопасность приложений Imperva

Imperva обеспечивает многоуровневую защиту, чтобы веб-сайты и приложения были доступны, легкодоступны и безопасны. Решение для обеспечения безопасности приложений Imperva включает в себя:

    — поддерживать работоспособность в любых ситуациях. Предотвратите любой тип DDoS-атаки любого масштаба, препятствующий доступу к вашему веб-сайту и сетевой инфраструктуре. — повысить производительность веб-сайта и снизить затраты на пропускную способность с помощью CDN, предназначенной для разработчиков. Кэшируйте статические ресурсы на периферии, ускоряя API и динамические веб-сайты. — облачное решение разрешает законный трафик и предотвращает нежелательный трафик, защищая приложения на периферии. Gateway WAF обеспечивает безопасность приложений и API внутри вашей сети. — анализирует трафик вашего бота, чтобы точно определить аномалии, выявляет плохое поведение бота и проверяет его с помощью механизмов проверки, которые не влияют на пользовательский трафик. — защищает API, гарантируя, что только желаемый трафик может получить доступ к вашей конечной точке API, а также обнаруживая и блокируя использование уязвимостей. — использует процесс обнаружения на основе намерений для выявления и защиты от попыток захвата учетных записей пользователей в злонамеренных целях. — защитите свои приложения изнутри от известных атак и атак нулевого дня. Быстрая и точная защита без подписи или режима обучения. — эффективно и точно нейтрализовать реальные угрозы безопасности и реагировать на них с помощью оперативной аналитики на всех уровнях защиты.

Защита данных Imperva

Решение Imperva для защиты данных защищает ваши данные, где бы они ни находились — локально, в облаке и в гибридных средах. Он также предоставляет специалистам по безопасности и ИТ полную информацию о доступе к данным, их использовании и перемещении по организации.

Наш комплексный подход основан на нескольких уровнях защиты, в том числе:

План North American Electric Reliability Corporation по защите критически важной инфраструктуры (NERC CIP) представляет собой набор стандартов.

Структура управления рисками ISO 31000 – это международный стандарт, который предоставляет компаниям рекомендации и принципы для .

Чистый риск относится к рискам, которые находятся вне контроля человека и приводят к убыткам или их отсутствию без возможности получения финансовой выгоды.

Экранированная подсеть или брандмауэр с тройным подключением относится к сетевой архитектуре, в которой один брандмауэр используется с тремя сетями .

Метаморфное и полиморфное вредоносное ПО – это два типа вредоносных программ (вредоносных программ), код которых может изменяться по мере их распространения.

В контексте вычислений Windows и Microsoft Active Directory (AD) идентификатор безопасности (SID) — это уникальное значение, которое равно .

Медицинская транскрипция (МТ) – это ручная обработка голосовых сообщений, продиктованных врачами и другими медицинскими работниками.

Электронное отделение интенсивной терапии (eICU) — это форма или модель телемедицины, в которой используются самые современные технологии.

Защищенная медицинская информация (PHI), также называемая личной медицинской информацией, представляет собой демографическую информацию, медицинскую .

Снижение рисков – это стратегия подготовки к угрозам, с которыми сталкивается бизнес, и уменьшения их последствий.

Отказоустойчивая технология — это способность компьютерной системы, электронной системы или сети обеспечивать бесперебойное обслуживание.

Синхронная репликация — это процесс копирования данных по сети хранения, локальной или глобальной сети, поэтому .

Интерфейс управления облачными данными (CDMI) – это международный стандарт, определяющий функциональный интерфейс, используемый приложениями.

Износ флэш-памяти NAND — это пробой оксидного слоя внутри транзисторов с плавающим затвором флэш-памяти NAND.

Выносливость при записи — это количество циклов программирования/стирания (P/E), которое может быть применено к блоку флэш-памяти перед сохранением .

Например, рассмотрим уязвимости человека. Поскольку большинство атак на информационные системы запускаются людьми «изнутри», необходимо настроить средства контроля, чтобы предотвратить преднамеренное или непреднамеренное неправомерное использование информационных систем.

Социальная инженерия является примером непреднамеренного использования. Чтобы проиллюстрировать эту концепцию, рассмотрим ситуацию, в которой злоумышленник извне звонит администратору. Злоумышленник выдает себя за сотрудника ИТ-отдела компании и убеждает администратора сообщить ему свое имя пользователя и пароль. Затем злоумышленник может использовать эти учетные данные для входа в сеть.

Чтобы предотвратить случайный или преднамеренный запуск атаки одним внутренним пользователем, в некоторых организациях требуется, чтобы два пользователя ввели свои учетные данные, прежде чем можно будет выполнить определенное действие, подобно тому, как для запуска ракеты требуется два ключа.

Кроме того, многие сотрудники заинтересованы в выполнении конкретной задачи. Если кажется, что на их пути стоят строгие процедуры безопасности, сотрудники могут обойти любые меры безопасности, чтобы, по их мнению, быть более продуктивными. Таким образом, обучение пользователей является важнейшим компонентом политики безопасности любой организации.

Потенциальные злоумышленники

Другим элементом защиты ваших данных является выявление потенциальных злоумышленников, которые могут захотеть украсть эти данные или манипулировать ими. Например, компании может потребоваться защитить свои данные от корпоративных конкурентов, террористов, сотрудников и хакеров и многих других.

Термин "хакер" часто используется в очень общем смысле для описания злоумышленников. Однако не у всех хакеров есть злой умысел.

В Таблице 1-5 перечислены различные типы «хакеров».

Таблица 1-5 Типы хакеров

Тип «Хакер»

Описание

Белый хакер

Белый хакер умеет взламывать компьютерные системы и наносить им ущерб. Однако он использует свои навыки, чтобы помочь организациям. Например, белый хакер может работать на компанию, чтобы проверить безопасность ее сети.

Черный хакер

Черный хакер, также известный как взломщик, использует свои навыки в неэтичных целях (например, для кражи средств).

Хакер в серой шляпе

Серого хакера можно рассматривать как белого хакера, который иногда сбивается с пути и действует неэтично. Например, серого хакера можно использовать в качестве законного тестера сетевой безопасности. Однако при выполнении своих этических обязанностей он находит возможность для личной выгоды и действует неэтично, чтобы получить эту личную выгоду.

Фрикер — это взлом телекоммуникационной системы. Например, фрикер, известный как «Капитан Кранч», использовал игрушечный свисток, который он нашел в коробке с хлопьями «Капитан Кранч» (который генерировал тон 2600 Гц), чтобы обманом заставить телефонные системы позволить ему совершать бесплатные междугородние звонки. Убедить оператора связи разрешить бесплатные междугородние звонки таким образом — пример фрикинга.

Кидди-скриптор — это пользователь, которому не хватает навыков типичного хакера. Скорее, он скачивает хакерские утилиты и использует их для запуска атак, а не пишет свои собственные программы.

Хактивист — это хакер с политическими мотивами, например тот, кто искажает веб-сайт политического кандидата.

Взломщик компьютерной безопасности

Хакер компьютерной безопасности хорошо разбирается в технических аспектах компьютерных и сетевых систем безопасности. Например, этот человек может попытаться атаковать систему, защищенную IPS, путем фрагментации вредоносного трафика таким образом, чтобы система IPS не обнаружила его.

Научный хакер – обычно сотрудник или студент высшего учебного заведения. Академический хакер использует вычислительные ресурсы учреждения для написания «умных» программ. Как правило, эти хакеры используют свои настоящие имена (в отличие от псевдонимов, которые часто используют хакеры, занимающиеся компьютерной безопасностью), и они, как правило, сосредотачиваются на программном обеспечении и операционных системах, основанных на открытых стандартах (например, Linux).

Хакер-любитель, как правило, занимается домашними компьютерами. Он может модифицировать существующее аппаратное или программное обеспечение, например, для использования программного обеспечения без законной лицензии. Например, код, который «разблокирует» Apple iPhone, может быть работой хакера-любителя.

Как показано в Таблице 1-5, "хакеры" бывают разных видов, что приводит к вопросу: "Что мотивирует хакера?" Некоторые хакеры могут работать на правительства, чтобы попытаться собрать разведданные от других правительств. Некоторые злоумышленники ищут финансовую выгоду посредством своих атак. Другие хакеры просто получают удовольствие от взлома защищенной информационной системы.

В этой книге подробно описаны несколько конкретных атак, которые может выполнить злоумышленник. Однако к этому моменту вы уже должны быть знакомы с пятью основными категориями атак:

Пассив. Пассивную атаку трудно обнаружить, поскольку злоумышленник не отправляет активно трафик (вредоносный или иной). Примером пассивной атаки является захват злоумышленником пакетов из сети и попытка их расшифровки (если изначально трафик был зашифрован).

Активная: активную атаку легче обнаружить, поскольку злоумышленник активно отправляет трафик, который можно обнаружить. Злоумышленник может начать активную атаку, пытаясь получить доступ к секретной информации или изменить данные в системе.

Ближняя атака. Атака вблизи, как следует из названия, происходит, когда злоумышленник находится в непосредственной физической близости от целевой системы. Например, злоумышленник может обойти защиту паролем на некоторых маршрутизаторах, коммутаторах и серверах, если он получит физический доступ к этим устройствам.

Инсайдер: инсайдерская атака происходит, когда законные пользователи сети злонамеренно используют свои учетные данные и сведения о сети.

Распространение. Атаки путем распространения преднамеренно вводят «черные ходы» в аппаратные или программные системы в момент их производства. После того, как эти системы будут распространены среди множества клиентов, злоумышленник может использовать свои знания об имплантированном лазейке, например, для доступа к защищенным данным, манипулирования данными или сделать целевую систему непригодной для использования законными пользователями.

Мышление хакера

Хакеры могут использовать различные инструменты и методы, чтобы «взломать» систему (то есть получить несанкционированный доступ к системе). Хотя эти методы различаются, следующие шаги иллюстрируют один пример методичного процесса взлома системы хакером:

Шаг 1

Узнайте больше о системе, выполнив разведку. На этом этапе, также известном как «отпечаток», хакер узнает о системе все, что может. Например, он может узнать доменные имена целевой компании и диапазон используемых ею IP-адресов. Он может выполнить сканирование портов, чтобы узнать, какие порты открыты в целевой системе.

Шаг 2

Определите приложения в системе, а также операционную систему системы. Хакеры могут использовать различные инструменты, чтобы попытаться подключиться к системе, и получаемое ими приглашение (например, приглашение для входа в систему FTP или веб-страница по умолчанию) может дать представление об операционной системе системы. Кроме того, ранее упомянутое сканирование портов может помочь идентифицировать приложения, работающие в системе.

Шаг 3

Получить доступ к системе. Социальная инженерия — один из самых популярных способов получить учетные данные для входа. Например, общедоступные записи DNS содержат контактную информацию для доменного имени компании. Хакер может использовать эту информацию, чтобы убедить администратора домена раскрыть информацию о системе. Например, хакер мог выдать себя за представителя поставщика услуг или государственного учреждения. Этот подход называется претекстинг.

Шаг 4

Войдите в систему с полученными учетными данными пользователя и повысьте привилегии хакера. Например, хакер может внедрить троянского коня (часть программы, которая выглядит как законное приложение, но также выполняет некоторые невидимые вредоносные функции), чтобы повысить свои привилегии.

Шаг 5

Соберите дополнительные имена пользователей и пароли. Обладая соответствующими правами, хакеры могут запускать утилиты для создания отчетов об именах пользователей и/или паролях.

Шаг 6

Настройте «черный ход». Доступ к системе через обычное имя пользователя/пароль может быть не тем способом, которым хакер хочет неоднократно получать доступ к системе. Срок действия паролей может истекать, а входы в систему могут регистрироваться. Поэтому хакеры могут установить черный ход, который является методом получения доступа к системе в обход обычных мер безопасности.

Шаг 7

Используйте систему. После того, как хакер получит контроль над системой, он может получить защищенную информацию из этой системы. В качестве альтернативы он может манипулировать данными системы или использовать систему для запуска атак на другие системы, с которыми у системы могут быть установленные доверительные отношения.

Эшелонированная защита

Поскольку надежное решение для обеспечения безопасности зависит от его самого слабого звена, перед сетевыми администраторами стоит задача внедрить решение для обеспечения безопасности, которое защищает сложную сеть. В результате вместо развертывания одного решения по обеспечению безопасности Cisco рекомендует использовать несколько дублирующих друг друга решений. Эти перекрывающиеся решения нацелены на различные аспекты безопасности, такие как защита от внутренних атак и защита от технических атак. Эти решения также должны подвергаться регулярному тестированию и оценке. Решения по обеспечению безопасности также должны пересекаться таким образом, чтобы исключить любую единую точку отказа.

Глубокая защита — это философия разработки, реализующая многоуровневый подход к обеспечению безопасности. Уровни безопасности, присутствующие в развертывании глубокоэшелонированной защиты, должны обеспечивать избыточность друг друга, предлагая различные стратегии защиты для защиты нескольких аспектов сети. Следует устранить любые отдельные точки отказа в решении по обеспечению безопасности и укрепить слабые звенья в решении по обеспечению безопасности.

Философия проектирования глубокоэшелонированной защиты включает следующие рекомендации:

Защита от нескольких целей атаки в сети.

Защитите сетевую инфраструктуру.

Защитите стратегически важные вычислительные ресурсы, например с помощью системы предотвращения вторжений (HIPS).

Создавайте перекрывающиеся средства защиты. Например, включите как систему обнаружения вторжений (IDS), так и средства защиты IPS.

Пусть стоимость защищенного ресурса определяет надежность механизма безопасности. Например, разверните больше ресурсов для защиты границ сети, а не ресурсов, развернутых для защиты рабочей станции конечного пользователя.

Используйте надежные технологии шифрования, такие как AES (в отличие от DES) или решения для инфраструктуры открытых ключей (PKI).

Рассмотрите пример топологии глубокоэшелонированной защиты, показанный на рис. 1-2. Обратите внимание на два сервера электронной почты — внешний и внутренний. Внешний почтовый сервер действует как ретранслятор электронной почты для внутреннего почтового сервера. Таким образом, злоумышленник, пытающийся воспользоваться уязвимостью электронной почты, должен будет скомпрометировать оба сервера электронной почты, чтобы повлиять на внутреннюю корпоративную электронную почту.

Также обратите внимание на использование сетевой системы обнаружения вторжений (NIDS), сетевой системы предотвращения вторжений (NIPS) и хостовой системы предотвращения вторжений (HIPS). Все три из этих стратегий смягчения последствий ищут вредоносный трафик и могут предупреждать или отбрасывать такой трафик. Однако эти стратегии развертываются в разных местах сети для защиты разных областей сети. Эта перекрывающаяся, но диверсифицированная защита является примером философии разработки «Глубокая защита».

Однако, если бы все решения безопасности в сети настраивались и управлялись с одной станции управления, эта станция управления могла бы стать единой точкой отказа. Поэтому, если злоумышленник скомпрометирует станцию ​​управления, он сможет обойти другие меры безопасности.

Эшелонированная защита

В разделе «Потенциальные злоумышленники» вы прочитали о пяти классах атак; В Таблице 1-6 приведены примеры перекрывающихся средств защиты для каждого из этих классов.

Таблица 1-6 Защита от различных классов атак

Класс атаки

Основной уровень защиты

Вторичный уровень защиты

Приложения со встроенной защитой

Брандмауэр на границе сети

Защита от несанкционированного физического доступа

Защита от несанкционированного физического доступа

Системы видеонаблюдения

Защищенная система распространения программного обеспечения

Проверка целостности программного обеспечения в режиме реального времени

Подмена IP-адресов

Злоумышленники могут запускать различные атаки, инициируя атаку с подменой IP-адреса. Атака с подменой IP-адреса заставляет IP-адрес злоумышленника выглядеть как доверенный IP-адрес. Например, если злоумышленник убедит хост в том, что он доверенный клиент, он может получить привилегированный доступ к хосту. Злоумышленник также может перехватывать трафик, который может включать учетные данные, такие как имена пользователей и пароли. В качестве другого примера вы можете быть знакомы с атаками типа «отказ в обслуживании» (DoS) и распределенными атаками типа «отказ в обслуживании» (DDoS). Виновные в таких атаках могут использовать подделку IP-адресов, чтобы скрыть свою личность.

Чтобы понять, как возможна атака с подменой IP, рассмотрим работу IP и TCP. На уровне 3 злоумышленник может легко изменить свои пакеты, чтобы IP-адрес источника выглядел как «доверенный» IP-адрес. Однако TCP, работающий на уровне 4, может быть более сложной задачей.

Из вашего раннего изучения TCP вы, возможно, помните, что сеанс TCP устанавливается с помощью трехэтапного рукопожатия:

Отправитель отправляет сегмент SYN адресату вместе с порядковым номером.

Пункт назначения отправляет подтверждение (ACK) порядкового номера отправителя вместе с собственным порядковым номером получателя (SYN).

Отправитель отправляет сегмент ACK для подтверждения порядкового номера получателя, после чего открывается канал связи TCP между отправителем и получателем.

Профессионалы по ИТ-безопасности используют передовой опыт для обеспечения безопасности корпоративных, государственных и других организаций.

Безопасность — это постоянная проблема, когда речь идет об информационных технологиях. Кража данных, взлом, вредоносное ПО и множество других угроз достаточны, чтобы не давать спать по ночам любому ИТ-специалисту. В этой статье мы рассмотрим основные принципы и рекомендации, которые ИТ-специалисты используют для обеспечения безопасности своих систем.

Цель информационной безопасности

Информационная безопасность следует трем всеобъемлющим принципам, часто известным как триада ЦРУ (конфиденциальность, целостность и доступность).

    : это означает, что информация просматривается или используется только теми людьми, которым разрешен доступ к ней. Необходимо принять соответствующие меры безопасности, чтобы личная информация оставалась конфиденциальной и была защищена от несанкционированного раскрытия и посторонних глаз.

: Этот принцип гарантирует целостность и точность данных и защищает их от изменений. Это означает, что любые изменения информации неавторизованным пользователем невозможны (или, по крайней мере, обнаруживаются), а изменения авторизованных пользователей отслеживаются.

Итак, вооружившись этими принципами более высокого уровня, специалисты по ИТ-безопасности разработали рекомендации, которые помогут организациям обеспечить безопасность своей информации.(Читайте также: 3 ключевых компонента безопасности BYOD.)

Рекомендации по ИТ-безопасности

Существует множество передовых методов обеспечения ИТ-безопасности, характерных для определенных отраслей или предприятий, но некоторые из них применимы широко.

Сбалансировать защиту с полезностью

Компьютеры в офисе можно было бы полностью защитить, если бы выдрали все модемы и всех выгнали из комнаты — но тогда они были бы никому не нужны. Вот почему одной из самых больших проблем в области ИТ-безопасности является поиск баланса между доступностью ресурсов и их конфиденциальностью и целостностью.

Вместо того, чтобы пытаться защититься от всех видов угроз, большинство ИТ-отделов сначала сосредотачиваются на изоляции наиболее важных систем, а затем находят приемлемые способы защиты остальных, не делая их бесполезными. Некоторые из систем с более низким приоритетом могут быть кандидатами на автоматический анализ, чтобы наиболее важные системы оставались в центре внимания.

Назначить минимальные привилегии

Чтобы система информационной безопасности работала, она должна знать, кому разрешено видеть и выполнять определенные действия. Кому-то из бухгалтерии, например, не нужно видеть все имена в клиентской базе данных, но ему может понадобиться увидеть цифры, полученные от продаж. Это означает, что системному администратору необходимо назначать доступ в соответствии с типом работы человека и, возможно, потребуется уточнить эти ограничения в соответствии с организационными разделениями. Это гарантирует, что финансовый директор в идеале сможет получить доступ к большему количеству данных и ресурсов, чем младший бухгалтер.

Тем не менее, ранг не означает полный доступ. Генеральному директору компании может потребоваться доступ к большему количеству данных, чем другим лицам, но им автоматически не требуется полный доступ к системе. Человеку должны быть предоставлены минимальные привилегии, необходимые для выполнения его или ее обязанностей. Если обязанности человека изменятся, то изменятся и привилегии. Назначение минимальных привилегий снижает вероятность того, что Джо из дизайнера уйдет со всеми маркетинговыми данными.

Определите свои уязвимые места и планируйте заранее

Не все ваши ресурсы одинаково ценны. Некоторые данные важнее других, например база данных, содержащая всю учетную информацию о ваших клиентах, включая их банковские идентификаторы, номера социального страхования, адреса или другую личную информацию.

В то же время не все ресурсы одинаково уязвимы. Например, информация, хранящаяся в физически разделенных системах хранения, не подключенных к основной сети, намного безопаснее, чем информация, доступная на устройствах BYOD всех ваших сотрудников (Bring Your Own Devices).

Заблаговременное планирование различных типов угроз (таких как хакеры, DDoS-атаки или просто фишинговые электронные письма, нацеленные на ваших сотрудников) также помогает вам оценить риск, с которым может столкнуться каждый объект на практике.

Определение того, какие данные являются более уязвимыми и/или более важными, поможет вам определить уровень безопасности, который вы должны использовать для их защиты, и разработать соответствующие стратегии безопасности. (Читайте также: 6 достижений в области кибербезопасности, произошедших во второй половине 2020 г.)

Используйте независимую защиту

Это военный принцип в той же степени, что и принцип ИТ-безопасности. Использование одной действительно хорошей защиты, такой как протоколы аутентификации, хорошо только до тех пор, пока кто-то не взломает ее. Когда используется несколько уровней независимой защиты, злоумышленник должен использовать несколько различных стратегий, чтобы обойти их.

Введение этого типа многоуровневой сложности не обеспечивает 100-процентной защиты от атак, но снижает шансы на успешную атаку.

Готовьтесь к худшему, планируйте лучшее

Если ничего не помогает, вы все равно должны быть готовы к худшему. Планирование неудач поможет свести к минимуму их фактические последствия, если они произойдут. Наличие резервного хранилища или отказоустойчивых систем заранее позволяет ИТ-отделу постоянно контролировать меры безопасности и быстро реагировать на нарушения.

Если нарушение не является серьезным, предприятие или организация могут продолжать работу в резервном режиме, пока проблема не будет устранена. ИТ-безопасность — это не только ограничение ущерба от нарушений, но и его предотвращение и смягчение.

Резервное копирование, резервное копирование, резервное копирование

В идеале система безопасности никогда не будет взломана, но если нарушение безопасности все же произойдет, это событие должно быть записано. На самом деле ИТ-персонал часто записывает все, что может, даже если нарушения безопасности не происходит.

Иногда причины утечек не очевидны постфактум, поэтому важно иметь данные для отслеживания в прошлом. Данные об утечках в конечном итоге помогут улучшить систему и предотвратить будущие атаки, даже если изначально это не имеет смысла.

Проводить частые тесты

Хакеры постоянно совершенствуют свое мастерство, а это означает, что информационная безопасность должна развиваться, чтобы идти в ногу со временем.ИТ-специалисты проводят тесты, проводят оценку рисков, перечитывают план аварийного восстановления, проверяют план обеспечения непрерывности бизнеса в случае атаки, а затем повторяют все заново. (Читайте также: 5 причин быть благодарными хакерам.)

Вывод

ИТ-безопасность — это сложная работа, требующая внимания к деталям и в то же время высокой осведомленности. Однако, как и многие задачи, которые на первый взгляд кажутся сложными, ИТ-безопасность можно разбить на основные шаги, которые могут упростить процесс. Это не значит, что это упрощает задачу, но ИТ-специалисты остаются в напряжении.

Читайте также: