Програма кібербезпеки своїми руками

Наскільки актуальні та коректні ваші знання в галузі безпеки? 

Усі ми маємо смартфони, платіжні картки, електронні посвідчення особи, акаунти соцмереж та інші ресурси, які є цілями зловмисників. Однак далеко не всі користувачі інформаційних технологій надають кібербезпеці належного значення, доки не зіткнуться з реальною загрозою. Не тільки користувачам, а й ІТ-компаніям та ІТ-фахівцям необхідно постійно підвищувати рівень обізнаності про інформаційну безпеку. Як зробити цей процес не тільки правильним, а й цікавим, і мотивуючим, і таким, що дає не тільки теоретичні знання, а й практичні навички? Як зрозуміти, хто крутіший – хакери чи безпечники?

Ми допомагаємо всім, включаючи фахівців з інформаційної безпеки, а також менеджерів та керівників, зацікавлених у забезпеченні захисту даних і мереж, із цим непростим, але важливим завданням.

Ми підготували цю статтю, яка допоможе вам не тільки освіжити ваші знання з інформаційної безпеки та познайомитися з актуальними лайфхаками, а й самостійно створити програму підвищення обізнаності користувачів і політику інформаційної безпеки вашої організації. Наша мета – забезпечити вас необхідною інформацією та інструментами для того, щоб підвищити безпеку вашої організації, клієнтів, партнерів та їхніх даних, і запобігти можливим кібератакам.

Лайфхаки побудови результативних програм безпеки

Багато людей має не зовсім правильні уявлення про хакерів і кіберзлочинність. У масовій кінокультурі комп’ютерний геній за кілька секунд зламує банківські рахунки, складні кіберсистеми, видобуває засекречені дані та навіть може отримати доступ до кодів для запуску ядерних ракет.   

Важливо донести до користувачів, що кіберзлочинність має безліч проявів. Це не далеке кіношне чи шпигунське поняття, а реальна загроза насамперед для особистих фінансів та інших ресурсів користувача. Навчивши користувачів кібергігієни, захисту власних ресурсів і зниженню кіберризиків, ви отримуєте в особі цих користувачів союзників у боротьбі за безпеку корпоративних, громадських і навіть державних ресурсів. У цьому полягає головний лайфхак для побудови сучасних ефективних програм обізнаності з безпеки. 

Найпоширеніший вид кіберзлочинності в усьому світі – кібершахрайство. Злочинці часто використовують досить примітивні методи для того, щоб роздобути ваші персональні дані або заволодіти вашими грошима. 

Наприклад, для цього створюються спеціальні скрипти та віруси, які викрадають дані, потрібні хакеру. Створюються фішингові сайти, куди довірливі користувачі самі вводять потрібну шахраям інформацію. Або застосовуються інші методи соціальної інженерії – незамінного інструменту хакерів. Саме людський фактор, довіра і звичайна необізнаність про небезпеку і стають головним слабким місцем будь-якої компанії та звичайного користувача.

Крім фінансової вигоди, кіберзлочинність може мати політичні або ідеологічні цілі. Найчастіше такі хакери або цілі групи кіберзлочинців атакують державні сайти, намагаються заволодіти важливою інформацією або дискредитувати державу. Сам факт того, що хакери змогли успішно атакувати державні реєстри чи інші важливі ресурси, вже завдає шкоди репутації державі та окремим її службам.

Нарешті, іноді хакери діють виключно заради розваги. Перші хакери не мали мети збагачення. Вони хотіли підвищувати свою самооцінку, вихваляючись своїми технічними навичками, розважатися та експериментувати. Перші комп’ютерні віруси найчастіше мали одну мету – показати перевагу його автора над звичайними користувачами та професійними розробниками. Час минав, і вже зовсім скоро переважна більшість хакерів почала займатися протизаконними діями для своєї матеріальної вигоди. 

Таким чином, під час розроблення програм обізнаності важливо насамперед показувати, що  жертвою кібершахраїв може стати кожен, і потім доносити користувачам інформацію про всі основні форми кіберзлочинності, що можуть впливати на особисті ресурси й інтереси користувачів не тільки прямо, а й опосередковано: 

• кіберхуліганство і хактивізм;
• кібершахрайство (соціальна інженерія тощо);
• кіберздирництво (ransomware);
• крадіжка персональних даних;
• злом систем і ресурсів (несанкціонований доступ); 
• кібершпигунство; 
• кібертероризм. 

Рекомендуємо познайомитися з нашим оглядом, аналізом і прогнозом кібер-інцидентів, щоб поліпшити уявлення про кіберзлочинність та отримати додатковий матеріал для програм обізнаності про кібербезпеку.

Хто ж попереду – кіберзлочинність чи кібербезпека?

Кіберзлочинність стала глобальною проблемою. Багато компаній почали усвідомлювати масштаб загрози та звертаються до сертифікованих фахівців з інформаційної безпеки. Значні фінанси вкладаються в розробку максимально захищених систем, які не по зубах хакерам. Чи все ж таки по зубах? Це складне питання.

Під час створення й використання програмного забезпечення та інших ІТ важливо розуміти, що ідеально захищених систем не існує. Розробники, власники та користувачі сучасних систем балансують на межі безпеки, зручності та вартості заходів захисту. Поліпшення будь-якого одного фактора з цих трьох одночасно погіршує два інші. 

Багато хто вважає, що кіберзлочинці завжди на крок попереду спеціалістів із кібербезпеки – розробників антивірусного програмного забезпечення, інших систем безпеки, менеджерів безпеки,  розслідувань інцидентів та інших експертів. 

Дійсність така, що деякі хакери час від часу розумніші за деяких безпечників, і навпаки. Злочинці створюють нові комп’ютерні віруси, методи злому і крадіжок, а завдання спеціалістів із безпеки – якнайшвидше виявити ці віруси та методи, і знайти способи боротьби з ними. Часто нові віруси, спам-кампанії, ботнети або шкідливі сайти живуть лише кілька хвилин або годин, поки антивірусна компанія або компанія з онлайн-безпеки не ідентифікує нову загрозу та не випустить автоматичне оновлення для користувачів. 

Фахівці з кібербезпеки, які займаються розробкою, впровадженням і особливо тестуванням комплексних систем захисту, повинні бути хоча б на один крок попереду хакерів, щоб запобігати загрозам. Тому такі фахівці також мають думати як хакер. Таких людей називають «білими» або етичними хакерами, тому що їхня мета схожа на мету кіберзлочинця або “чорного хакера” – знайти вразливості, проте мотивація й подальші кроки інші – закрити ці вразливості або вчасно застосувати потрібний захід захисту від загрози.

Питання ускладнюється ще й специфічною іронією кібербезпеки, третьою групою – «сірими» хакерами. Вони можуть використовувати свої навички в галузі інформаційної безпеки як для корисних, так і для неетичних цілей, залежно від обставин та їхніх особистих мотивацій. На відміну від «чорних» хакерів, «сірі» хакери здебільшого не займаються злочинною діяльністю і не мають наміру завдати шкоди системам або даним. Вони, як правило, дотримуються етичних норм і часто ведуть свою діяльність у межах законності. Водночас вони можуть використовувати свої навички для тестування безпеки та виявлення вразливостей систем, наприклад, без попереднього дозволу власників цих систем. І хоча надалі вони можуть повідомляти «жертві» про проблеми з безпекою та пропонувати свої послуги, такі дії в деяких юрисдикціях незаконні.  

Перегони хакерів і фахівців із безпеки можна було б порівняти зі змаганням звичайних злочинців з одного боку, а також звичайної поліції та індустрії фізичної безпеки з іншого боку. Однак кіберзлочинність зростає набагато швидше, ніж звичайна злочинність, з урахуванням постійного винаходження нових злочинних методів і в міру залучення в ІТ безтурботної частини населення планети, яке впевнене, що їх не зачепить ця проблема, поки не трапляється перший сумний інцидент.

Чому потрібно бути на крок попереду хакерів

Як і зі звичайною злочинністю, важливо не лише боротися з наслідками та шукати хакера, який уже вчинив злочин, а вміти запобігати самому факту та навіть найбільш раннім передумовам атаки, а також знижувати рівень вразливості та загрози до мінімуму.

Під час створення власної програми обізнаності у сфері інформаційної безпеки важливо наводити приклади з реального життя, як хакери можуть впливати на інформаційні системи. Як ми згадували вище, під час навчання завжди вигідно починати з прикладів, які є найближчими для людей, – особисті фінанси та особиста фізична безпека.

Будь-яка людина користується послугами банків, платіжних систем, платіжних шлюзів та інших фінансових установ. Є багато прикладів злому та компрометації систем і баз даних цих організацій. Навіть якщо ви не маєте мобільних застосунків банкінгу і не здійснюєте онлайн-платежі, банки та інші фінансові організації містять інформацію про вас і ваші рахунки на своїх серверах. Їх потрібно захищати від хакерів. Навіть якщо зловмисник знаходить спосіб дістатися тільки до інформації про клієнтів, а не про їхні фінанси, фінансова організація дискредитована. Це сильний удар по репутації, і багато людей відмовляються від послуг конкретної фінансової організації, яка не змогла надійно захиститися від хакерів. 

Ще одна важлива проблема кібербезпеки пов’язана з інтернетом речей. Придивіться до побутової техніки, яка вас оточує. Чи маєте ви «розумний» чайник, робот-пилосос, холодильник, пральну машину та інші пристрої, якими можна керувати дистанційно. Ці пристрої часто піддаються хакерським атакам. Насамперед такі пристрої потрібні зловмисникам для того, щоб формувати ботнети. Тобто, наприклад, обчислювальна потужність розумного чайника або холодильника може використовуватися для DDoS-атак. Тоді безліч заражених пристроїв починають масово надсилати запити на сервер, який був обраний хакером як мета атаки. Відбувається перевантаження, через яке сервер перестає відповідати на запити від реальних людей. Так можна на деякий час паралізувати роботу навіть дуже великої організації. Деякі хакери використовують обчислювальну потужність зараженої техніки для майнінгу криптовалют. 

Технології мають велику роль у сфері охорони здоров’я. Спеціальні серцеві клапани, розумні помпи для регуляції інсуліну та моніторингу стану організму, апарати штучної вентиляції легень і багато іншого – все це вимагає особливого захисту від можливих атак. Не можна виключати ризики, і вже є окремі випадки втручання хакерів у роботу цих важливих пристроїв. Від таких ризиків залежать життя людей. Тому сучасне медичне обладнання має відповідати найсуворішим стандартам кібербезпеки. Найбільші виробники медичного обладнання роблять його максимально захищеним. 

Часто трапляються масові кібератаки на пристрої за допомогою програм-шифрувальників. Комп’ютери заражаються, і користувачі втрачають доступ до своєї інформації на жорстких дисках через її шифрування. Для розшифровки й отримання доступу хакери вимагають перерахувати гроші на їхні криптогаманці. Багато великих компаній погоджувалися на умови хакерів, оскільки простій або втрата важливої інформації приносила більший збиток, ніж розмір викупу. Від таких атак страждають не тільки звичайні користувачі, а й безліч підприємств, логістичних компаній, бізнесів і навіть державних установ. Це може завдати серйозної шкоди та паралізувати багато процесів роботи.    

Державні структури та підприємства також стають метою атак хакерів. Злочинці прагнуть роздобути не обов’язково секретні дані та документи. Найчастіше їхньою метою стають персональні дані громадян. Наприклад, багато держструктур через певну специфіку своєї роботи мають інформацію про масу людей – імена, прізвища, вік, номери телефонів, місця проживання, зацифровані посвідчення особи та багато іншого. Такі бази даних дуже цінні та мають попит у даркнеті – злочинній частині Інтернету. Крім іншого, зловмисники можуть використовувати цю інформацію для оформлення кредитів та інших позик на ім’я жертв, які нічого не підозрюють. Деякі більш-менш законослухняні компанії також готові платити за такі бази даних, оскільки вони містять корисну інформацію та контакти людей, що можна використовувати, наприклад, у таргетованій рекламі.

Що стосується спецслужб і установ, пов’язаних з обороною, то вони регулярно стають об’єктами кібератак з боку кіберзлочинців і спецслужб ворожих держав. Іноді хакерам вдається на деякий час вивести з ладу великі системи. Бувають великі випадки витоку інформації. Тому над забезпеченням кібербезпеки країн, які ведуть фізичні або економічні війни, працюють великі підрозділи фахівців з інформаційної безпеки. 

Можна навести десятки прикладів кіберзагроз та інцидентів, які створюють хакери. На жаль, це не теоретичні, а реальні проблеми, які виникають щодня і впливають не лише на особисту безпеку громадян, а й на економічну безпеку підприємств та національну безпеку країн.

Які вразливості використовують хакери

Більшість успішних кібератак вдається виконати завдяки вразливостям систем. Саме вразливості стають тими самими дверима, які використовують кіберзлочинці. Такі вразливості можуть бути пов’язані з апаратною або програмною частиною системи. 

Деякі загрози пов’язані з проблемами на рівні «заліза». Деякі процесори можуть містити вразливості, що дають змогу зловмисникам отримувати несанкціонований доступ до чутливих даних. Можливі атаки, спрямовані на сам пристрій, такі як обхід захисту, читання пам’яті, маніпуляції з електронними компонентами та інші. 

Некоректно спроєктовані, виготовлені або зібрані апаратні компоненти можуть мати приховані вразливості або недоліки, які використовують зловмисники. Такі вразливості досить складно виправити, оскільки вони часто пов’язані з особливістю роботи самого пристрою. Досить часто виправлення таких вразливостей, наприклад, нещодавньої вразливості GoFetch у процесорах Apple M, сильно уповільнює роботу пристроїв. Існує навіть думка, що виробники пристроїв таємно створюють подібні вразливості, щоб час від часу мотивувати користувачів розщедрюватися на нові, швидші пристрої.

Програмні вразливості найчастіше пов’язані з роботою операційної системи. Не важливо, наскільки це надійна система, і до якого сімейства вона належить. Проблеми та вразливості регулярно виявляються в операційних системах Windows, macOS, Linux та інших ОС. Розробники їх оперативно виправляють за допомогою оновлень. Дуже добре, якщо вразливість, яку можна використати для кібератак, першими виявили самі розробники або фахівці з безпеки, а не хакери. 

Деякі системні програми та додаткове програмне забезпечення, відносно безпечні самі по собі, за певних поєднань можуть бути «дверима» для хакера, який скористається помилкою програмістів або системних адміністраторів.

Хакери можуть атакувати протоколи передачі даних, такі як TCP/IP, DNS, HTTP, FTP та інші. Уразливості в цих протоколах можуть бути використані для перехоплення даних, відмови в обслуговуванні, підміни трафіку та інших атак. Тому зовсім не обов’язково, що зловмисники атакуватимуть комп’ютер користувача. Іноді достатньо перехопити пакети даних на різних рівнях передачі. 

Останнє за порядком, але не за значущістю – це вразливості людського розуму та недотримання елементарної кібергігієни. Сюди входить використання контрафактного та іншого ненадійного програмного забезпечення, безладні комунікації, наївність, страхи, жалість і багато інших психологічних вразливостей, якими користуються шахраї під час обману користувачів.

Як захиститься від загроз

Донесіть користувачам, що в кіберпросторі йде постійна війна між «добром» і «злом». Хакери з різними цілями та досвідом несуть загрозу інформаційним системам. З ними борються фахівці з безпеки:

• сервісні компанії з кібербезпеки;
• розробники антивірусів та інших рішень;
• підрозділи з безпеки в різних організаціях;
• правоохоронні органи тощо.

У той самий час, звичайні користувачі мають підтримувати кібергігієну – базові правила своєї кібербезпеки. 

Насамперед це регулярні оновлення операційної системи (ОС). Чи часто ви оновлюєте ОС на своєму комп’ютері, ноутбуці або смартфоні? Багато людей роблять це досить рідко або в принципі вимикають цю функцію. Це дуже небезпечна помилка. Хоча після чергового оновлення ви можете не побачити жодних змін візуально, вони все ж є «під капотом», і найчастіше вони стосуються безпеки. Як ми говорили вище, операційні системи мають уразливості. Коли вони виявляються, потрібно одразу їх позбутися. Звичайний користувач не зможе самостійно знайти проблему та спосіб її вирішення. За нього це роблять розробники операційних систем, які регулярно надсилають оновлення. 

Безліч загроз створюється комп’ютерними вірусами та іншим шкідливим програмним забезпеченням. Найчастіше сам користувач дає йому можливість запуститися на своєму пристрої. Часто хакери створюють трояни – це застосунки, які мають як відкриті, так і приховані шкідливі функції. Ви завантажуєте корисну для себе програму, встановлюєте її, і вона цілком добре виконує свої функції. Водночас троян може отримувати доступ до ваших файлів, збирати інформацію про вас, використовувати ресурси вашого пристрою у своїх цілях і багато іншого. Часто віруси, трояни, шифрувальники, хробаки, шпигуни та багато інших шкідливих функцій тим чи іншим чином поєднуються в одній програмі. 

Щоб випадково не заразити свій пристрій, краще встановлювати програми тільки з офіційних сайтів і маркетів. Не потрібно шукати піратські версії програм, оскільки з великою ймовірністю ви встановите на свій пристрій небезпечний застосунок і станете вразливими перед хакерами. 

Не забувайте нагадувати користувачам про правила безпеки на веб-сторінках. Користувачі не повинні переходити на підозрілі сайти, відкривати незрозумілі посилання, які їм надіслала незнайома людина, і, тим паче не потрібно вводити там свої дані. Якщо виникають сумніви, користувачі мають звернутися за консультацією до фахівця. 

Використовуйте двофакторну аутентифікацію – додаткове підтвердження при введенні пароля. Це найпотужніший захід безпеки, що зупиняє більшість зловмисників.

Нарешті, налаштуйте автоматичне резервне копіювання всієї вашої важливої інформації в хмару або на інші пристрої. Це найнадійніший захист від програм-вимагачів і не тільки.

Ці прості правила допомагають захиститися від більш ніж 95% кіберзагроз. У найпростішому випадку ви можете сформувати з таких правил елементарну політику безпеки вашої організації, що знижує найістотніші її ризики. Крім правил безпеки, включіть до політики опис відповідальності за безпеку та її життєвого циклу – від проєктування і впровадження до підтримки та контролю ефективності. Цінним джерелом інформації для розроблення політики безпеки є міжнародний стандарт ISO 27001.

Для боротьби з кіберзагрозами комерційні компанії, державні та громадські організації розробляють всеосяжні норми, стандарти, фреймворки та політики безпеки. Це комплекс заходів щодо захисту не тільки від хакерів, вірусів, шпигунів, здирників, а й від випадкових помилок, техногенних аварій і стихійних лих. Ці заходи починаються з розрахунку ризиків, проєктування безлічі шарів захисту і поділу прав доступу, і закінчуються впровадженням спеціальних програмних і апаратних засобів захисту, а також розслідуваннями інцидентів, компенсацією шкоди та навчанням на минулих помилках.

Висновок

Використовуючи наші матеріали та підказки, ви зможете спробувати самостійно розробити програму підвищення обізнаності у сфері інформаційної безпеки та політику інформаційної безпеки для вашої компанії та користувачів. 

Щойно ви відчуєте, що ваших власних сил недостатньо, ви можете звернутися за допомогою до наших спеціалістів для створення максимально ефективної та насиченої програми, з урахуванням поточного рівня знань користувачів та з урахуванням ризиків, з якими вони можуть зіштовхуватися, а також ефективної політики безпеки, індивідуально розробленої для вас з урахуванням новітніх міжнародних стандартів. 

Ефективність корпоративної політики та програми обізнаності про інформаційну безпеку може бути значно збільшена шляхом тестування на проникнення, навчань Red Team, а також упровадження нових методів навчання і тестування співробітників із розпізнавання соціальної інженерії, яку широко використовують хакери та кіберзлочинці. 

Людська довірливість, неуважність і необізнаність залишаються основними причинами успішних атак, відкриваючи зловмисникам доступ до цінних даних і систем. Наш авторський підхід допоможе вашим фахівцям і користувачам розвинути критичне мислення, поліпшити навички виявлення загроз і вразливостей, а також освоїти сучасні ефективні методи та інструменти, щоб запобігти можливим атакам і знизити ризики.

Звертайтеся до нас за допомогою! Наша команда експертів готова надати вам необхідну підтримку та консультації.

Слідкуйте за останніми новинами та оновленнями в нашому блозі, а також підписуйтесь на наші соціальні мережі, посилання на які знаходяться внизу цієї сторінки.