В настоящее время мы не можем себе представить свою жизнь без глобальной сети интернет – поисковые системы, социальные сети, облачные хранилища, развлекательные медиа и многое другое, все это является неотъемлемой частью нашей жизни. Пользуясь ресурсами сети, мы оставляем цифровой отпечаток нашей реальной личности (персональные данные, цифровые фотографии, сообщения личного характера и т.п.), чем могут воспользоваться злоумышленники, так называемые киберпреступники или хакеры, для нанесения различного ущерба. Данные в сети, обычно хранятся в информационных системах, и вот именно на такие системы пытаются совершать атаки киберпреступники. Для построения надежной системы безопасности необходимо, понимать, что такое информация, информационная система и информационная безопасность.

Федеральный закон №149-ФЗ гласит:

• Информация — сведения (сообщения, данные) независимо от формы их представления.
• Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

ГОСТ Р ИСО/МЭК 27001–2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.

Дает нам определение информационной безопасности:

Информационная безопасность — свойство информации сохранять конфиденциальность, целостность и доступность.

Где:

• Конфиденциальность — свойство информации, заключающееся в ее доступности ограниченному кругу лиц.
• Целостность — свойство информации, заключающееся в отсутствии в ней любых изменений за исключением санкционированных.
• Доступность — свойство информации, заключающееся в возможности легального пользователя получить к ней беспрепятственный доступ, возможно, при выполнении условий, установленных владельцем информации.

На основе вышеуказанных определений, а также законов и ГОСТов для построения комплексной системы безопасности предусмотрены следующие меры защиты информации (ЗИ):

Организационные меры защиты информации  — меры обеспечения защиты информации, представляющие собой любые действующие на территории РФ правила, регламентирующие доступ к информации и порядок работы с ней, а также меры обеспечения и контроля исполнения таких правил.

Организационные меры защиты информации подразделяются:

Законодательные меры ЗИ.

Административные меры ЗИ.

Организационно-технические меры ЗИ.

Морально-этические меры ЗИ.

Криптографические меры защиты информации  — меры обеспечения защиты информации, представляющие собой преобразование информации, как правило, на основе секретного параметра, таким образом, что получить доступ к информации или корректно осуществить действия с ней могут только пользователи, которым известен секретный параметр (ключ).

Криптографические меры защиты информации подразделяются:

• Алгоритмы шифрования.
• Функции хэширования.
• Схемы электронной цифровой подписи.

Меры технической защиты информации — меры обеспечения защиты информации от несанкционированного доступа с использованием приемов технической разведки.

Заключаются в защите информации от утечек по технические каналам утечки информации, основанным на физических основах обработки и передачи информации пользователями и техническими средствами.

Стенографические меры защиты информации — меры обеспечения защиты информации, направленные на сохранение в секрете от лиц, не являющихся легальными пользователями информации, факта передачи или хранения информации.

Программно-технические меры защиты информации  — меры обеспечения защиты информации, заключающиеся в использовании специальных программных, аппаратных и программно-аппаратных средств, входящих в состав информационной системы и обеспечивающих защиту информации

Давайте более подробно остановимся на программно-технических мерах защиты информации, именно они являются последним контуром защиты, который препятствует похищению информации хакером.

Рассмотрим основные этапы атаки на информационную систему и методы защиты, которые необходимо применять на каждом из этих этапов.

Этап 1. Разведка. Поиск уязвимых мест.

Злоумышленник ищет в интернете всю доступную информацию об атакуемом объекте, включая deep и dark интернет (адреса, социальные сети, репозитории и т. п.). Зачастую сам пользователь не знает, какая информация о нем присутствует в сети, поэтому для упреждения атаки специалисты по информационной безопасности (ИБ) первым делом должны провести разведку.

В качестве методов защиты рекомендуется применять:

1. Исследование информации о себе в сети (инструментом может служить любой сканер, например ImmuniWeb Discovery).
2. Установка, настройка и управление IDS / IPS (Intrusion detection system / Intrusion prevention system) на основе хоста и сети.
3. Обновление и поддержка правильных списков контроля доступа.

Этап 2. Вооружение. Выбор способа атаки.

После того, как киберпреступник собрал информацию о компании, он выбирает способ атаки на ИС. Например, одними из самых используемых для атаки элементов в последнее время являются файлы формата pdf, MS Office и уязвимости приложений.

И если в политике безопасности можно прописать, что сотрудники не должны открывать файлы с неизвестных адресов, то с уязвимостями дело обстоит гораздо сложнее. Для решения этой проблемы применяется пентестирование (например, ImmuniWeb On-Demand).

Этап 3. Доставка вредоносного программного обеспечения (ПО).

Основными способами доставки вредоносного ПО являются: электронная почта, web-приложения и USB устройства.

Чтобы предотвратить доставку необходимо использовать все имеющиеся средства, как программно-аппаратные, так и организационные. А именно:

1. Управление безопасностью браузера.
2. Использование встроенного антивируса.
3. Эффективная настройка и управление брандмауэром веб-приложений (WAF)
4. Использование межсетевых экранов.
5. Обучение пользователей основам информационной безопасности и регламентирование их поведения в сети интернет.

Этап 4. Эксплуатация.

После того, как оружие доставлено на хост компании, начинается этап его эксплуатация (например, запуск файла на исполнение) во время которого начинается запуск программного кода злоумышленника, если не предотвратить этот процесс, то вредоносное ПО сможет инсталлироваться на компьютер. Чаще всего эксплуатация нацелена на уязвимость приложения или операционной системы, которая автоматически выполняет код.

Для противодействия этапу эксплуатации необходимо сфокусироваться на средствах управления ИС и минимизации ее уязвимости. Для этого рекомендуется:

1. Внедрение изолированной программной среды приложения/процесса.
2. Проведение проактивного тестирования на проникновение (пентесты).
3. Использование white-list приложений, т. е. использование «жесткого» контроля над запущенными приложениями.
4. Удаление всех внешних консолей удаленного администрирования для веб-приложений.
5. Использование специальных инструментов, например таких как EMET (Enhanced Mitigation Experience Toolkit).
6. Внедрение предотвращения выполнения данных DEP (Data Execution Prevention).
7. Выполнение рандомизации макета адресного пространства.

Этап 5. Инсталляция.

Если мы не смогли предотвратить этап эксплуатации, то начинается установка вредоносной программы или бэкдора в системе, что позволит киберпреступнику получить удаленный доступ и сохранить постоянство своего присутствия внутри ИС.

На данном этапе противодействие заключается в следующем:

1. Запрещение установки вредоносных программ и совершение других действий, препятствующих злоумышленнику поддерживать постоянный доступ в ИС.
2. Включение инструментов и функций командной строки только при необходимости.
3. Внедрение мониторинга поведения пользователей в ИС.
4. Реализация ограничения на выполнение файлов.
5. Контроль учетных записей пользователей (UserAccount Control).
6. Настройка и управление многоуровневыми межсетевыми экранами.

Этап 6. Управление и контроль.

На данном этапе злоумышленник получает удаленный доступ к управлению ИС. Основной задачей специалистов по ИБ является нарушение способности злоумышленника сохранять удаленный доступ:

1. Обеспечение правильной сегментации сети.
2. Мониторинг и протоколирование входящего и исходящего трафика.
3. Ограничение однорангового (P2P) трафика ИС.
4. Установка пороговых значений для DNS-запросов на одной машине.
5. Блокировка связи с внешним сервером.
6. Использование воронок DNS.
7. Блокировка доменов.

Этап 7. Совершение преступления (действия по целям).

Если нам не удалось остановить киберпреступника на предыдущих этапах, то начинается атака на ИС. Да, только на седьмом этапе злоумышленники могут предпринять действия для достижения своих первоначальных целей: кража данных, шифрование данных, нарушения целостности или доступности данных и т. п. Даже если это произошло, то есть еще возможность минимизировать потери активов организации. Главной задачей является нарушение способности злоумышленника находить, получать доступ к ИС и извлекать конфиденциальную информацию:

1. Сегментация сети.
2. Ограничение доступа к общим папкам, содержащим конфиденциальную информацию.
3. Принудительное управление процедурой идентификации пользователей в системе.
4. Внедрение контроля доступа к данным.
5. Внедрение средства управления для обнаружения и предотвращения несанкционированного «бокового» движения по компьютерам сети.
6. Осуществление постоянного резервного копирования данных и системы.

Заключение.

В работе приведены основные методы защиты информации, которые необходимо применять для построения комплексной защиты информации предприятия. Рассмотрены этапы атаки на информационную систему, применяемые киберпреступниками и противодействие этим атакам с помощью программно-технических методов защиты информации.