От Zeus до WannaCry: современные угрозы и новые средства защиты
Пока весь мир гадает, кто в середине мая запустил WannaCry, мы решили напомнить о других неприятностях, которые поджидают в интернете, и рассказать, как от них защититься.
ФИШИНГ
Один из наиболее часто используемых злоумышленниками способ похитить личные данные пользователя и реквизиты доступа к сервисам, в том числе финансовым. Суть метода – заманивание пользователя на похожий на настоящий сайт, где он сам введет свои личные данные и реквизиты доступа. Сообщения чаще всего маскируются под официальные, чтобы не вызывать подозрений и не заставлять пользователя внимательно вчитываться.
Фишинговые ссылки распространяются в основном через почтовые рассылки или мессенджеры.
Полученная злоумышленниками информация может использоваться для рассылки спама, кражи денег с банковского счета или взлома аккаунта в соцсети.
Как защититься:
Использовать контент-фильтр, который сверяет входящую информацию с облачной базой данных, содержащей большое количество фишинговых сайтов.
Проверять почтовый трафик (особенно это касается корпоративной почты) на спам, вирусы и фишинговые ссылки. В Ideco ICS, например, такие проверки организованы модулем антиспама и антифишинга от Лаборатории Касперского.
Регулярно обучать пользователей основам информационной безопасности. Это один из необходимых методов для устранения угроз, связанных с социальной инженерией.
АТАКА ПО ЭЛЕКТРОННОЙ ПОЧТЕ
Атака по электронной почте – популярный и простейший вид интернет-мошенничества. Нужные е-мейл адреса всегда можно найти в открытом доступе, в том числе на сайте компании. Информация в письме может быть какой угодно: от различных поздравлений с выигрышем очередного миллиона долларов и просьб пожертвовать деньги фонду до указаний пройти по ссылке или открыть прикрепленный файл. Первоначальное проникновение в сеть вируса WannaCry, например, чаще всего происходило именно по электронной почте. Так вирус может преодолеть корпоративный межсетевой экран.
Как защититься:
Использовать антиспам-фильтр и антивирусную проверку почтовых вложений.
Желательно, чтобы антиспам-фильтр включал в себя антифишинг.
Запретить прием исполняемых вложений по электронной почте.
Регулярно обучать пользователей основам информационной безопасности.
БОТНЕТЫ
Ботнеты – наиболее популярный тип угроз, позволяющий различным компьютерам действовать в унисон и, к примеру, рассылать спам, распространять вирус или организовать DDoS-атаку.
Как защититься:
Использовать систему предотвращения вторжений, правила которой содержат IP-адреса серверов управления ботнетами в постоянно обновляемой базе данных с возможностью блокировки соединений с ними.
Контент-фильтр HTTP и HTTPS трафика с базой данных командных центров ботнетов также может помочь в блокировке соединений с ними, т.к. большинство ботнетов используют для работы стандартные порты для веб (чаще всего разрешенные на корпоративном межсетевом экране).
Установить корпоративный антивирус для защиты рабочих станций на каждое рабочее место.
ШИФРОВАЛЬЩИКИ, ВИРУСЫ, ТРОЯНЫ
Шифровальщики, вирусы, трояны распространяются по электронной почте, вредоносными скриптами на веб-страницах, флеш-дисках. Зачастую они также обладают функциональностью клиентов ботнетов и обращаются к своим командным центрам с целью загрузки новых модулей, ключей шифрования и т.п.
Как защититься:
Проверять антивирусом почтовый и веб-трафик.
Использовать контентную фильтрацию, которая блокирует зараженные сайты и страницы, распространяющие вирусы.
Использовать систему предотвращения вторжений, чтобы не допустить соединение с вредоносными ресурсами, командными центрами ботнетов и блокировать вредоносные скрипты на веб-страницах.
ADWARE
Adware-программы собирают маркетинговую информацию пользователя, чтобы учитывать его интересы при последующем показе рекламы. При этом многие антивирусы рассматривают adware-программы как условную угрозу и не обеспечивают должную защиту. Лучший вариант в данном случае обеспечить защиту на уровне шлюза.
Как защититься:
Использовать контентную фильтрацию вместе с системой предотвращения вторжений для блокировки обращений к центрам сбора рекламной информации и веб-трекерам.
АТАКИ НА ВЕБ-ПРИЛОЖЕНИЯ
Атаки на веб-приложения приносят ущерб как владельцу приложения, так и пользователям. Успешные атаки предоставляют доступ к внутренним ресурсам компании, похищают учетные данные, заражают рабочие станции вредоносным ПО. Как защититься:
Использовать систему предотвращения вторжений.
Использовать Web Application Firewall – межсетевой экран, который предназначен для защиты веб-приложений (сайтов, веб-порталов, CRM и ERP-систем с веб-интерфейсом) от атак.
В отличие от обычного межсетевого экрана, WAF анализирует HTTP(S)-протокол на уровне приложений и способен защитить сайт от большого количества угроз, даже в случае наличия уязвимостей в коде веб-приложения.
DOS, DDOS-АТАКИ
DoS и DDoS-атаки проводятся с целью заблокировать систему и получить доступ к персональным или иным важным данным.
Как защититься: DoS-атаку можно предупредить: для этого необходимо ограничить число коннектов и нелигитимного трафика, а также использовать систему защиты от broot force атак для защиты почтового сервера и других сервисов, использующих парольную аутентификацию. Вряд ли вы сможете своими силами отразить DDoS-атаку, поэтому рекомендуем вывести из локальной сети критически важные серверы: DNS-сервер для внешних доменных зон, веб-сайт.
ВНУТРЕННИЕ УТЕЧКИ ИНФОРМАЦИИ
Внутренние утечки информации осуществляются либо руками неопытного пользователя, либо вполне сознательного, действующего с определенной целью. Чаще всего передается информация об объектах интеллектуальной собственности, финансовая или медицинская информация, данные кредитных карт и прочее. Как защититься: Применять DLP-систему, которая позволяет обнаружить и предотвратить попытки копирования или передачи конфиденциальной информации.
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
Социальная инженерия – одна из насущных проблем сисадминов. Никогда не знаешь, какие данные о вашей компании отправит бухгалтер Мария Степановна в ответ на безобидное письмо. Такие письма рассчитаны на то, что получатель начнет волноваться и благополучно сольет все явки-пароли первому встречному, который представился весьма важной персоной.
Как защититься:
Ограничить привилегии пользователя.
Рассказать сотрудникам основные правила интернет-безопасности.
ЧТО НУЖНО ПОМНИТЬ
Лучшая защита – комплексная. Но даже ее необходимо обновлять.
Решение из коробки не всегда соответствует вашим требованиям. Для грамотной настройки найдите опытного системного администратора или специалиста по информационной безопасности.
Регулярно проводите инструктаж сотрудников по компьютерной безопасности.