Cyber threats: Киберриски и противодействие (2я часть)

Не так давно, в одном закрытом чате участник задал вопрос относительно привлечения, скажем так, «внешнего» трейдера на подработку.
А, возможно и организовать «пул» маркет мейкеров на «удаленке».  Большим пробелом в той задаче, на мой взгляд, была недостаточная  проработка рисков.

В связи с этим, мне хотелось бы продолжить тему киберугроз и немного поговорить про информационную безопасность. 
Угрозы могут быть как преднамеренные (со стороны внешних или внутренних нарушителей), так и случайными (техногенные, ошибочные действия персонала). 

Квалифицированные внешние нарушители — advanced persistent threat (АРТ) группировки — (это не троян, а сама атака).
Наиболее известные группировки: Lazarus, Sidewinder, Transparent Tribe, ViciousPanda и т.д.

Основные характеристики АРТ:

• Стремятся к полному контролю. Раз за разом не взирая на неудачи возвращаются к «жертве». Используют все силы и средства для этого. 
• Мощная и продуманная социальная атака. Собираются все данные: о персонале, инфраструктуре, используемом ПО.
• Используют для «входа» Ваших доверенных адресатов, контрагентов и клиентов.
• Длительное время наблюдают за «жертвой» в режиме реального времени и собирают информацию не вмешиваясь в процессы.

Неквалифицированные внешние нарушители — script kiddie — пользуются чужими скриптами и разработками, подчас не понимая как они работают.

• Действия зачастую автоматизированы
• Из-за недостаточности знаний о скриптах — основное применение в социальной инженерии.  

Внутренние нарушители:

• Квалифицированные: сисадмины, сотрудники кибербезопасности, внедренные профессионалы
• Не квалифицированные: руководители, работники, внедренные не профессионалы

Самый критичный риск — проникновение в сеть, шифрование резервных копий, затем шифрование файлов на ПК и серверах. Затем — требование выкупа.
(пример: атака на Гармин).

Актуальный ущерб от «шифровальщиков» — более 15 млрд. долл. в прошлом году.

Модели нарушителей:

• Атака с использованием шифровальщиков с шантажом на выкуп
• Атака с целью приостановки бизнес-процессов (заказ конкурентов и игра на бирже)
• Промышленный шпионаж (кража конфиденциальной информации с целью перепродажи)
• Массовая атака низкой квалификации (NotPetya, WannaCry)

Варианты заражения трояном:

• Зараженный сайт
• Зараженная флешка
• Электронная почта — ссылки на зараженные сайты — зараженные вложения
• Троян под видом полезной программы
• «Сетевой червь»

Пример: письмо сотрудникам компании от Пенсионного фонда о проверке трудового стажа: вредоносная ссылка, замаскированная под Пенсионный фонд.

Протокол удаленного рабочего стола (Remote Desktop Protocol — RDP) — позволяет удаленно подключится к ПК под управлением «винды».
RDP Клиент -> ввод и события мыши -> Сервер терминалов (порт 3389/tcp)
Сервер терминалов (порт 3389/tcp) -> графические данные -> RDP Клиент

Атака на RDP:

• Скан открытых RDP-портов: используются простые инструменты сканирования - Shodan, Masscan
• Выполняется попытка входа в систему: зачастую в качестве админа, данные приобретены на черном рынке или с инструментом перебора пароля
• Отключение систем безопасности: отключение антивируса, удаление резервных копий, изменение параметров конфигурации
• Доставляется полезная нагрузка: после отключения системы безопасности — добавляется «полезная нагрузка» — установка бэкдоров для будущих атак
• Требуется выкуп: шифровальщик, фейк-шифровальщик, zip/rar/7z-вымогатель

Слабость RDP — всеобщая проблема.

Как распознать атаку?

• Не функционируют все системы IT (отсутствует коммуникация с контрагентами, отсутствует возможность осуществлять операции)
• Резервные копии отсутствуют или повреждены
• Сообщение о выкупе вашей инфраструктуры

Действия:

• Отключение от сети Интернет
• Отчет о потерях IT инфраструктуры
• Отчет о пользователях в системе
• Отчет о запущенных процессах на серверах
• Отчет о хранимой у пользователей информации
• Стратегия по выходу из кризиса 

VPN — Virtual Private Network — виртуальная частная сеть — название технологии, которая позволяет обеспечить сетевые соединения «поверх» другой сети.

Примеры кибер-рисков:

• Публикация персональных данных клиентов 
• Слив информации о сделках до первых платежей клиентов
• Кража через интернет-банки
• Аварии сайтов и серверов
• Внесение изменений в финансовые программы (завышение стоимости после всех проверок)
• Шифрование ПК

Риски для дистанционного банковского обслуживания:
Невозможность отправить платеж в срок: DOS/DDOS, авария техники, ошибки персонала
Платежи мошенникам: АРТ, script kiddie, работники IT, другие работники.

Противодействие (весьма дорогое):

• SOC — Security Operations Center — центр оперативного управления. Сбор событий из различных источников, анализ этих событий и предупреждение о возможных проблемах.
• CERT/CSIRT — Computer Emergency Response Team/Computer Security Incident Response Team — сбор информации о событиях в мире, классификация и нейтрализация

Противодействие угрозам:

• Резервные копии
• Обновление программ
• Разделение доступа и сегментирование сети
• Связка антивирус/песочница
• Контроль выходящей информации
• Контроль движения пользователей
• Контроль инцидентов информационной безопасности

Внедряемые решения противодействия:

• Двухфакторная/многофакторная аутентификация
• Повышение осведомленности пользователей (фишинг, цифровая гигиена, бытовая инф.безопасность)
• Подключение к SOC
• Формирование защиты динамического периметра
• Внедрение регулярного контроля независимыми специалистами вашей инфраструктуры