Многие предпочитают использовать ретроспективный взгляд на вещи, но когда речь заходит о долгосрочном планировании и ИТ стратегии — предвидение угроз информационной безопасности имеет решающее значение. 2019 год уже позади, компании должны быть готовы ко всем угрозам информационной безопасности, с которыми они столкнутся в 2020 году. Злоумышленники постоянно ищут новые уязвимости в системах информационной безопасности, а также стратегии для обмана и нанесения ущерба компаниям, в то же время, некоторые старые уязвимости и стратегии по-прежнему остаются одними из основных угроз информационной безопасности предприятий и бизнеса, которые уже сейчас могут быть выявлены в процессе ИТ-аудита компании

На какие основные угрозы информационной безопасности стоит обратить внимание в 2020 году? В этой статье освещены наиболее распространенные и серьезные угрозы информационной безопасности организаций по версии портала CompQuip.

1) Фишинг / Социально-технические атаки

Анализ информационной безопасности большинства организации в большинстве случаев указывает на на сотрудников, как на самую большую уязвимость. На то есть весомые основания. В 2018 году произошло огромное количество фишинговых атак против всех видов целей. Согласно статистике, представленной Small Business Trends, 1 из 99 писем является фишинг-атакой. В среднем это 4,8 письма на сотрудника в течение пятидневной рабочей недели. Если учесть сколько писем отправляется каждый день — это более 269 миллиардов фишинговых писем в день! Кроме того, как утверждает Small Business Trends, около 30% из всех фишинговых писем, проходят сквозь работающие по умолчанию системы защиты.

Что такое фишинговая атака?

Фишинговая атака — это атака основанная на социальной инженерии, для неё злоумышленник генерирует мошенническое электронное письмо, текст или веб-сайт, чтобы обманным путем заставить жертву передать конфиденциальную информацию, такую как учетные данные для работы, пароли к учетным записям в Интернете, данные кредитной карты и т. д.

Из всех угроз информационной безопасности в этом списке, фишинговые электронные письма являются одними из самых серьезных, поскольку они могут заставить сотрудника предоставить доступ к своим рабочим учетным данным, что позволит мошенникам злоупотребить этими привилегиями, чтобы нанести ущерб системам вашего бизнеса.

Кроме того, со временем все больше злоумышленников стали использовать фишинговые стратегии из-за того, насколько они дешевы, эффективны и просты в использовании. Это стратегия с низким уровнем риска и высокой прибылью для киберпреступников, которую они могут использовать с минимальными затратами времени и усилий.

2) Атаки на основе IoT

Довольно молодой угрозой и уязвимостью информационной безопасности организации являются подключенные к интернету “умные” устройства. Проблема заключается в том, что не на всех этих интеллектуальных устройствах установлена надежная защита, что позволяет злоумышленникам получить доступ к этим устройствам для проникновения в рабочую сеть организации.

Хорошим примером угрозы информационной безопасности на основе IoT является «Reaper» — вредоносное ПО, использующее уязвимости в устройствах IoT для получения доступа и распространения. Конечным результатом этого типа атаки является то, что субъекты угроз могут привлекать миллионы скомпрометированных устройств IoT для проведения крупномасштабных атак, в том числе распределенных атак типа «отказ в обслуживании» (DDoS), которые обычно нарушают работу веб-сайтов, интернет-сервисов и блокируют их.

Однако для самой организации активно действующей IoT, наибольшей угрозой информационной безопасности является прямое использование устройств IoT злоумышленниками для прослушки рабочих мест и отслеживания внутреннего сетевого трафика организации который часто бывает не зашифрован.

Что такое атаки на основе IoT?

Проще говоря, IoT-атака — это любая кибератака, в которой жертва использует умные устройства, подключенные к Интернету (такие как динамики с поддержкой Wi-Fi, голосовые ассистенты, будильники и т. п.), чтобы обеспечить проникновение вредоносных программ в сеть. Эти атаки нацелены на устройства IoT, в частности, потому что они часто упускаются из виду, когда речь идет о применении патчей безопасности, что подвергает риску именно этот вид устройств.

3) Программы-вымогатели

В целом, за последний год количество атак вымогателей уменьшилось, по крайней мере, количество таких атак на отдельных пользователей. В то же время, отмечает ITPro Today, частота обнаружения таких угроз внутри предприятий выросла с 2,8 миллиона в первом квартале 2018 года до 9,5 миллиона в первом квартале 2019 года. Это почти на 340% больше обнаружений. 

Одной из причин, по которой бизнес в настоящее время преследуется киберпреступниками больше, чем частные лица, является то, что у него больше денег и мотивации для выкупа. Еще одна причина, упомянутая в статье ITPro, — это падение цен на биткоины, которое сделало крипто-майнинг-атаки менее прибыльными, заставив киберпреступников сосредоточиться на других стратегиях и целях для атаки.

Как работают атаки программ-вымогателей?

Атаки с использованием программ-вымогателей обычно подразумевают что злоумышленник заражает системы жертвы вредоносным ПО, которое шифрует все их данные. Затем жертве предъявляется ультиматум — либо заплатить выкуп, либо потерять свои данные навсегда.

В 2020 году программы-вымогатели стали более серьезной угрозой информационной безопасности, чем когда-либо. Каждый день компании сталкиваются с риском проникновения вредоносных программ в свои системы и уничтожения их данных.

4) Инсайдерские атаки

Анализ информационной безопасности организаций всё чаще указывает на их собственных сотрудников, как на самую большую угрозу безопасности. Внутренний доступ, который имеют сотрудники, делает их способными нанести большой вред, если они решат злоупотребить своими привилегиями доступа для личной выгоды. Или же они могут случайно позволить злоумышленникам взломать свои учетные записи или попросту передать их злоумышленникам в результате фишинговых атак. Кроме того, сотрудники могут загрузить опасные вредоносные программы на свои рабочие станции совершенно не осознавая угрозы.

Будь то в результате преднамеренного совершения преступления или непреднамеренного несчастного случая, наибольшую угрозу информационной безопасности организации представляют сотрудники, ежедневно использующие сетевые ресурсы.

Почему инсайдерские атаки являются угрозой?

Причина, по которой инсайдерские атаки остаются одной из самых больших угроз информационной безопасности, наличие которой можно наблюдать год за годом, заключается в том, что они имеют огромный потенциал для нанесения ущерба. Один недовольный или неосторожный сотрудник может создать серьёзную брешь в системе безопасности вашей сети, допустить серьезное нарушение безопасности данных — их утечку или повреждение.

Особенно серьёзной этот вид угрозы информационной безопасности является из-за трудностей в предсказании и предотвращении, без тщательной подготовки это становится практически невыполнимой задачей.

5) Асинхронные вызовы процедур в системных ядрах

Некоторое время назад Ars Technica сообщила о серьезном недостатке безопасности, обнаруженном в некоторых системах Huawei MateBook, в которых использовалось программное обеспечение PCManager. Согласно утверждению Ars Technica, «программное обеспечение компании PCManager включает драйвер, который позволит непривилегированным пользователям создавать процессы с привилегиями суперпользователя». Это позволит любому злоумышленнику, осведомленному о недостатке, полностью обойти защиту устройства, используя асинхронные вызовы процедур (APC) для прерывания системных процессов и принудительного запуска вредоносного кода.

Что такое асинхронный вызов процедуры?

Как объясняется в статье Ars Technica, APC: «Это способ временно направить программный поток для того, чтобы прекратить работу определенной функции, которую он выполняет в данный момент. Вместо этого, они переключаются на выполнение другой функции, когда выполнение другой функции завершается, протектор возобновляет исходную функцию с того места, где она остановилась". Проблемный драйвер, о котором велась речь в статье, по сути, должен был обеспечить, чтобы программное обеспечение, частью которого он был, продолжало работать в случае сбоя, но это также представляло серьезный риск кибербезопасности.

По сути, это способ прерывать процессы и заставлять запускаться новые, часто не обнаруживаемые пользователем системы, поскольку прерывание происходит в ядре системы, о чем большинство людей, не являющиеся IT-специалистами, даже не задумываются.

6) Неравномерность мер по обеспечению информационной безопасности

Согласно данным отчета Verizon Data Breach Investigation за 2019 год, большинство кибератак (52%) были совершены с помощью взлома (хакерства). Взлом может быть определен как попытки прямого вторжения, предпринятые людьми вне вашей организации, пытающимися каким-то образом обойти периметр вашей сетевой безопасности.

Не смотря на то, что количество попыток взлома снизилось пропорционально другим методам атаки за прошедшие годы (в 2016 году оно составляло 60%  от всех попыток вторжения), опасность, которую представляют внешние атаки, ничуть не уменьшилась. Многие попытки взлома стараются использовать бреши в безопасности, чтобы обойти систему сетевой безопасности компании.

Почему неравномерная защита системы несет угрозу?

Хакерские атаки могут быть нацелены на множество различных целей, но они, как правило, пытаются исследовать слабые места в защите бизнес-сети. Анализ информационной безопасности организаций показывает что именно неравномерный уровень сетевой защиты внутренней сетью организации и злоумышленниками чаще всего служит точкой входа, которая им необходима для проникновения даже в самые сильные средства защиты — и все потому, что ОДНОМУ активу в вашей сети не хватает ключевой меры безопасности, используемой для защиты всего остального.

Примером этого может служить утечка данных JP Morgan Chase в 2014 году. Как отмечалось людьми, проинформированными о проблеме, в статье New York Times Dealbook, опубликованной после взлома, команда безопасности JPMorgan, по-видимому, пренебрегла возможностью обновить один из своих сетевых серверов с помощью схемы с двойным паролем. Это сделало банк уязвимым для вторжения. Хотя у остальных систем банка была двухфакторная аутентификация (DFA) для противодействия киберугрозам, основанным на краже паролей, поскольку один актив в сети не имел этого обновления аутентификации, он стал легкой точкой входа, что в то время стало одной из крупнейших в истории брешей в банковской системе.

7) Неисправленные уязвимые места и ошибки системы безопасности

Из предыдущей главы вытекает следующая проблема: многие злоумышленники в первую очередь нацеливаются на известные уязвимости в популярных бизнес-программах — уязвимости, которые нередко имеют легкодоступные исправления. Однако слишком часто эти обновления/исправления для системы безопасности не применяются к уязвимому программному обеспечению просто потому, что анализ информационной безопасности организации производится недостаточно часто. Это даёт возможность скомпрометировать и подвергнуть внешней атаке деловую сеть.

Что такое уязвимость/ошибка системы безопасности?

Уязвимость безопасности (или ошибка безопасности) — это непреднамеренный сбой или изъян в программном обеспечении или операционной системе компьютера, которую злоумышленники могут использовать для незаконного доступа к системам или для причинения вреда.

Иногда эти недостатки могут возникать не из-за недостатков одного из компонентов программного обеспечения или операционной системы, а из-за взаимодействия между различными программами, что усложняет прогнозирование появления такой ошибки.

8) DDoS-атаки

Самой распространенной угрозой информационной безопасности организаций по всему миру по прежнему остаются распределенные атаки типа «отказ в обслуживании» (DDoS). Эти атаки предназначены для подавления сетевых ресурсов жертвы, не позволяя им нормально пользоваться трафиком в своей сети. Методология этих атак может варьироваться от одной к другой и может включать различные уровни сложности. Это делает DDoS-атаки серьёзной угрозой информационной безопасности.

В чём опасность DDoS-атак?

Способность DDoS-атак самостоятельно парализовать операции для предприятий любого размера, делает их реальной угрозой. Однако это не единственная причина, по которой эти кибератаки считаются очень опасными.

Стоит отметить что DDoS-атаки могут воздействовать на кого угодно, они часто используются в качестве камуфляжа — часто запускаются, останавливаются и перезапускаются, чтобы скрыть другие попытки нарушения системы безопасности. Используя DDoS-атаки в качестве отвлекающих факторов, злоумышленники могут отвлечь вашу команду по кибербезопасности, что очень похоже на то, как сценический маг перенаправляет внимание своей аудитории, чтобы она не могла рассмотреть суть исполняемого им фокуса.

Оригинал