Что такое кибер-угроза?

Для эксперта по кибербезопасности определения киберугрозы в Оксфордском словаре немного не хватает: «возможность злонамеренной попытки повредить или разрушить компьютерную сеть или систему».

Это определение является неполным без включения попытки доступа к файлам и проникновения или кражи данных.

В этом определении угроза объясняется как возможность.

Однако в сообществе кибербезопасности угроза более тесно связана с злоумышленником или противником, пытающимся получить доступ к системе.

Или угроза может быть обнаружена в результате нанесенного ущерба, т.е каким образом произвелась атака и какие использовались тактики, методы и процедуры.

Типы кибер-угроз

В 2012 году Роджер А. Граймс предоставил этот список, опубликованный в Infoworld, из пяти наиболее распространенных кибер-угроз:

Социнженерийные трояны

Уязвимости нулевого дня (например, Java, Adobe Reader, Flash)

Фишинг

Сетевые черви

Усовершенствованные постоянные угрозы

Но с момента публикации этого списка было широко распространено внедрение нескольких различных типов технологий: облачные вычисления, большие объемы данных и использование мобильных устройств.

В сентябре 2016 года Боб Гурли поделился видеороликом, содержащим комментарии от свидетельства корпорации Rand в Комитете по внутренней безопасности, подкомитете по кибербезопасности, технологиям защиты инфраструктуры и безопасности в отношении новых киберугроз и их последствий.

В видеоролике выделяются две технологические тенденции, которые движут кибер-угрозой в 2016 году:

Интернет вещей – отдельные устройства, подключающиеся к Интернету или другим сетям

Быстрый рост данных – хранятся на устройствах, настольных компьютерах и в других местах

Сегодня список кибер-угроз может выглядеть примерно следующим образом:

Фишинг

трояны

ботнеты

Вымогатели

Распределенный отказ в обслуживании (DDoS)

Атаки вайпер

Кража интеллектуальной собственности

Кража денег

Манипуляция данными

Уничтожение данных

Spyware / Malware

Человек по середине (MITM)

Шутливое программное обеспечение

Непропатченное программное обеспечение

Непропатченнное программное обеспечение, казалось бы, самая простая уязвимость, все же может привести к самым большим утечкам.

Источники киберугроз

Технологии и методы организаторов угроз постоянно развиваются.

Но источники кибер-угроз остаются прежними. Всегда есть человеческий элемент; кто-то, кто попадается на умный трюк.

Но сделайте еще один шаг в этом вопросе, и вы найдете кого-то с мотивом.

Это реальный источник кибер-угрозы.

Например, в июне 2016 года SecureWorks выявила тактические подробности нападений российской группы Threat Group-4127 на электронные письма с избирательной кампанией Хиллари Клинтон.

Затем, в сентябре, Билл Герц из The Washington Times сообщил о другой кибератаке на электронные письма Хиллари Клинтон, предположительно  «враждебными иностранными игроками», вероятно, из Китая или России.

В настоящее время существует политика США в отношении иностранных кибер-угроз, известных как «сдерживание путем отказа».

В этом случае отказ означает предотвращение доступа иностранных противников к данным в США.

Но не все кибер-угрозы поступают из-за рубежа.

Недавно Пьерлуиджи Паганини @securityaffairs сообщил, что полиция арестовала двух людей из Северной Каролины, которые, как утверждается, являются членами пресловутой хакерской группы под названием «Crackas With Attitude», которая просочилась в личную информацию о 31 000 американских агентов и их семьях.

Наиболее распространенные источники кибер-угроз

Национальные государства или национальные правительства

Террористы

Промышленные шпионы

Организованные преступные группы

Хактивисты и хакеры

Деловые конкуренты

Недовольные инсайдеры

Необходимость знаний о киберугрозах для предприятий

Усиление современных угроз, таких как национальные государства, организованные киберпреступники и кибе-шпионаж, представляет собой самую большую угрозу информационной безопасности для предприятий на сегодняшний день.

Многие организации пытаются выявить эти угрозы из-за их тайного характера, изощренности ресурсов и их преднамеренного «низкого и медленного» подхода и усилий.

Для предприятий эти более сложные, организованные и постоянные исполнители угроз видят только цифровые следы, которые они оставляют.

По этим причинам предприятия нуждаются в осведомленности за пределами своих сетевых границ о передовых угрозах, специально предназначенных для подобного рода организаций и инфраструктуры.

Исследователи киберугроз могут начать с изучения фонового профиля активов за пределами границ сети и осознания оффлайновых угроз, таких как те, о которых здесь сообщил Люк Роденхеффер из Global Risk Insights.

Затем они должны отслеживать критически важные IP-адреса, доменные имена и диапазоны IP-адресов (например, блоки CIDR).

Это может предоставить расширенное предупреждение угрозы ИБ, пока противники находятся на этапах планирования.

Благодаря этой улучшенной готовности, вы можете получить более полное представление о текущих эксплойтах, идентификации киберугроз и действующих за ними участников.

Это позволяет вам принимать активные меры для защиты от этих угроз с соответствующими последствиями.

SecureWorks Counter Threat Unit (CTU)™ состоит из группы профессионалов, имеющих опыт работы в частных охранных, военных и разведывательных сообществах, и с 2005 года публикует анализ угроз.

CTU выпускают обзор угроз для тысяч сетей клиентов для выявления возникающих угроз а также многие другие ресурсы, включая:

Атака телеметрии от клиентов

Примеры вредоносных программ

Исследования

Публичные и частные источники информации

Мониторинг сайтов

Соцмедиа

Каналы связи, используемые участниками угроз

Сообщества по безопасности

Правительственные агентства

Данные из этих источников поступают в систему управления разведывательной информацией об угрозах, которая отбирает такие индикаторы угрозы, как например:

Сигнатуры

Доменные имена

Имена хостов

IP-адреса

Имена файлов

Данные реестра

Уязвимости

Каталогизированные вредоносные программы

Индикаторы угроз затем обогащаются контекстными метаданными, чтобы определить, как они относятся к субъектам угрозы и методам атаки.

Затем система помогает исследователям определить отношения, которые невозможно будет найти вручную.

Их исследование показывает, кто атакует, как и почему.

Эта информация затем приводит к действительным представлениям, таким как:

Что означает угроза?

Как вы сопротивляетесь?

Какие действия вы должны предпринять?

Обмен знаниями в области разведки происходит среди ведущих организаций по киберугрозам как в государственном, так и в частном секторах.

SecureWorks считает, что они являются наиболее информированными и активными организациями и находятся в постоянном общении с ними.

Ниже представлен неполный список этих организаций:

Форум групп реагирования на инциденты и безопасности (FIRST)

Национальный кибер-криминалистический и учебный альянс (NCFTA)

Программа Microsoft Active Protections (MAPP)

Центр обмена и анализа информации финансовых служб (FS-ISAC)

Национальный центр обмена и анализа информации о здравоохранении (NH-ISAC)

Уровень киберугрозы

Каталог кибербезопасности (или индикатор уровня угрозы) можно найти в различных общедоступных источниках.

Некоторые из этих каталогов, таких как CyberSecurityIndex.org, обновляются ежемесячно.

Другие, такие как уровень угрозы NH-ISAC или уровень оповещения MS-ISAC, обновляются чаще, основываясь на общей информации об угрозах.

Большинство этих индексов соответствуют тому же формату, что и исходный код безопасности Cyber ​​Security. Он ежедневно оценивается CTU и обновляется соответствующим образом на основе текущей активности угроз.

Причина, указывающая на текущее состояние индекса, как правило, включает надежную и действенную информацию о программном обеспечении, сетях, инфраструктурах или ключевых активах для угроз.

Когда идет серьезная дискуссия о том, какая угроза соответствует уровню индекса кибербезопасности, CTU будет использовать критерии в определениях индекса кибербезопасности при принятии решений. CTU принимает очень серьезный и разумный подход при определении индекса кибербезопасности.

Каталог безопасности SecureWorks Cyber Security был ранее опубликован общедоступно, но теперь доступен только клиентам через специальный портал.

Новые угрозы

Рекомендации по угрозам сообщают о новых уязвимостях, которые могут привести к появлению новых инцидентов. Они публикуются как можно скорее, чтобы помочь кому-либо лучше защитить свои устройства или системы.

Методы наиболее успешной практики для защиты и защиты

Сегодняшние методы наиболее успешной практики для кибербезопасности – гибридный подход.

Ключевое – не отставание от быстрых продвижений в изощренности киберугроз, которые развиваются вне того, что в данный момент может выполнить  и обеспечить служба безопасности.

Внутренние усилия по обеспечению безопасности ИТ:

Серьезное обучение конечных пользователей – практика соблюдения требований к обработке данных, распознавание попыток фишинга и процедур для противодействия попыткам социнженерии

Обновление программного обеспечения

Брандмауэр и антивирус *

IDS / IPS * – системы обнаружения вторжений и системы предотвращения вторжений

Мониторинг событий безопасности *

План реагирования на инциденты *

Требование к партнерам по обеспечению безопасности:

Проникновение и сканирование уязвимостей

Расширенный мониторинг угроз конечных целей атаки

Всегда актуальная информация об угрозе

Наличие сотрудников службы реагирования на инциденты информационной безопасности

* Если ресурсы недоступны внутри компании, любые из этих работ можно перенаправить к поставщику решений безопасности.