Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов

технологиям для обнаружения и анализа инцидентов, а также реагирования на них. Сюда относится также доступ к внешним ресурсам, таким как партнеры по реагированию на инциденты и поставщики, которые помогут в реагировании на инциденты и восстановлении.

Типы инцидентов и угроз безопасности

Кибернетические атаки

Под кибератаками понимаются любые злонамеренные попытки нарушить работу, нанести ущерб или получить несанкционированный доступ к компьютерной системе или сети. Эти атаки могут принимать различные формы, включая вирусы, черви, троянские кони, программы-вымогатели и атаки типа «отказ в обслуживании» (DDoS).

Один из наиболее распространенных видов кибератак — фишинговая атака, при которой злоумышленник отправляет электронное письмо или текстовое сообщение, представляющееся сообщением от законного источника, в попытке обманом заставить получателя выдать конфиденциальную информацию, например пароли или финансовые данные.

Еще один распространенный вид кибератак — атака Ransomware, при которой злоумышленник шифрует файлы жертвы и требует выкуп в обмен на ключ для дешифровки.

Кибератаки могут иметь серьезные последствия для организаций, включая потерю конфиденциальной информации, финансовый ущерб и вред для репутации. Поэтому организациям важно иметь планы реагирования на инциденты и аварийного восстановления, чтобы смягчить последствия таких инцидентов и минимизировать риск успешной атаки.

Вредоносные программы и Ransomware

Вредоносное ПО и Ransomware — это типы кибератак, которые становятся все более распространенными в современном цифровом ландшафте. Вредоносное ПО — это любое программное обеспечение, предназначенное для нанесения вреда или эксплуатации компьютерной системы. Ransomware, особый тип вредоносного ПО, представляет собой программу, которая шифрует файлы жертвы и требует заплатить в обмен на ключ для дешифровки.

Примерами вредоносных программ являются вирусы, троянские программы и черви. Обычно они распространяются с помощью фишинговых электронных писем, зараженного программного обеспечения или путем использования уязвимостей в компьютерной системе.

Ransomware также часто распространяется посредством фишинговых писем или использования уязвимостей в компьютерной системе. После заражения системы оно может быстро распространиться на другие устройства в сети. Примеры известных атак с помощью программ-вымогателей — Revil, NotPetya и Locky. Важно отметить, что и вредоносное ПО, и Ransomware могут оказать значительное воздействие на организации, привести к потере данных, простою систем и ущербу для репутации. Наличие надежного плана реагирования на инциденты и аварийного восстановления может помочь организациям быстро и эффективно реагировать на подобные инциденты и минимизировать ущерб.

Фишинг и социальная инженерия

Фишинг и социальная инженерия — это типы инцидентов безопасности, которые направлены на отдельных лиц и организации и предполагают обман и манипуляции. Цель таких атак — обманом заставить жертву предоставить конфиденциальную информацию, например учетные данные для входа в систему, финансовые сведения и личную информацию.

Одна из распространенных форм фишинга — электронная почта. Такие письма часто выглядят законными и могут приходить от известного или заслуживающего доверия источника. Они могут содержать ссылки на поддельные веб-сайты, запрашивать конфиденциальную информацию или содержать вредоносные вложения. Атаки социальной инженерии происходят также по телефону: злоумышленники могут выдавать себя за доверенную организацию или надежного человека, чтобы получить конфиденциальную информацию. Другой пример социальной инженерии — ловля на приманку, когда злоумышленник уговаривает жертву поделиться конфиденциальной информацией, предлагая в обмен на нее что-то ценное, например подарок или вознаграждение.

Важно, чтобы люди и организации знали об этих типах атак и имели процедуры для их выявления и реагирования на них. Сюда может входить обучение сотрудников определению подозрительных электронных писем и телефонных звонков, а также внедрение технических средств контроля, таких как спам-фильтры и двухфакторная аутентификация, для предотвращения подобных инцидентов.

Инсайдерские угрозы

Инсайдерские угрозы относятся к инцидентам безопасности, которые проистекают изнутри организации, а не из внешних источников. Это может произойти в результате халатности, злого умысла или сочетания того и другого. Вот некоторые примеры внутренних угроз.

• Сотрудник намеренно или непреднамеренно передает конфиденциальную информацию посторонним лицам.

• Сотрудник намеренно или ненамеренно устанавливает вредоносное ПО в сети компании.

• Сотрудник намеренно или непреднамеренно злоупотребляет ресурсами компании.

• Сотрудник намеренно или непреднамеренно нарушает политику компании.

• Сотрудник намеренно или непреднамеренно пытается получить несанкционированный доступ к конфиденциальным данным.

Для организаций важно разработать меры обнаружения и предотвращения внутренних угроз, такие как мониторинг активности сотрудников, регулярное обучение по вопросам безопасности и внедрение контроля доступа к конфиденциальным данным. Кроме того, им важно иметь планы реагирования на инциденты для устранения внутренних угроз в случае их возникновения.

Инциденты, связанные с физической безопасностью

Инциденты физической безопасности относятся к ситуациям, связанным с угрозами или реальными нарушениями физической безопасности организации. Они могут варьироваться от стихийных бедствий до преступных действий, таких как взлом и вандализм. Примеры инцидентов физической безопасности:

• Стихийные бедствия, такие как наводнения, ураганы, торнадо и землетрясения, которые могут повредить или уничтожить объекты, оборудование и данные.

• Ущерб от огня и дыма, которые могут возникнуть в результате поджога, неисправности электрооборудования или по другим причинам.

• Угрозы взрыва или реальные взрывы, способные повредить здания и травмировать людей.

• Преступные действия, такие как взломы, кражи и вандализм, которые могут привести к утрате оборудования или данных.

• Саботаж, который может представлять собой акт преднамеренного повреждения либо уничтожения оборудования или данных.

• Похищение людей, взятие заложников или другие преступные действия, которые могут угрожать жизни людей и целостности имущества.

• Киберфизические атаки, такие как ICS-SCADA, которые могут нарушить или повредить физическую инфраструктуру.

Организациям важно иметь план реагирования на подобные инциденты физической безопасности и восстановления после них, чтобы минимизировать воздействие на свою деятельность и защитить активы и персонал. Обычно это предусматривает определение критически важных активов, оценку уязвимости и внедрение контрмер, таких как средства контроля физической безопасности, процедуры реагирования на инциденты и планы реагирования на чрезвычайные ситуации.

Стихийные бедствия и отключения электроэнергии