Что такое DDoS-атаки и как от них защищаться бизнесу
«Принцип работы подобного типа атак кроется в их названии — Distributed Denial of Service или «отказ в обслуживании, — рассказывает руководитель направления «Информационная безопасность» ИТ-компании КРОК Андрей Заикин. — Любое оборудование имеет ограничение по пропускной способности и по количеству обрабатываемых запросов».
Для атаки используют так называемые «ботнет-сети» — компьютерные сети с запущенными на устройствах ботами, которые управляются хакерами издалека. Киберпреступники активизируют запросы с помощью этих ботов, которые обращаются к сайту выбранной жертвы. Ботнет-сети могут состоять как из зараженных устройств пользователей (например, компьютеров с активированными на них вирусами, которые хакеры используют без ведома пользователя), так и, например, из IoT-устройств: «умных» колонок, пылесосов и так далее. Размер ботнета может составлять от десятков до сотен тысяч устройств.
Схематическое изображение ботнет-сети (Фото: Cloudflare)
«Каждый компьютер инициирует соединения, которые ничем не отличаются от действий легитимных клиентов. В совокупности все эти действия могут создать нагрузку, превышающую расчетную», — добавляет начальник управления технической защиты информации СКБ-банка Александра Цыпко.
По словам старшего аналитика информационной безопасности Positive Technologies Вадим Соловьева, услугу DDoS-атаки можно заказать в даркнете. Ее стоимость будет составлять около $50 в сутки.
В чем отличие DoS от DDoS?
В арсенале киберпрестпуников есть еще один вид атаки типа «Отказ в обслуживании» — DoS-атака. Ее главное отличие от DDoS-атаки в том, что для рассылки запросов на сайт используется только одно устройство, а не сеть.
Как происходят DDoS атаки? | Лаборатория Касперского
Распределенные сетевые атаки часто называются распределёнными атаками типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). Этот тип атаки использует определенные ограничения пропускной способности, которые характерны для любых сетевых ресурсов, например, инфраструктуре, которая обеспечивает условия для работы сайта компании. DDoS-атака отправляет на атакуемый веб-ресурс большое количество запросов с целью превысить способность сайта обрабатывать их все … и вызвать отказ в обслуживании.
Стандартные цели DDoS-атак:
- Сайты интернет-магазинов
- Онлайн-казино
- Компания или организация, работа которой связана с предоставлением онлайн-услуг
Как работает DDoS-атака
Сетевые ресурсы, такие как веб-серверы, имеют ограничения по количеству запросов, которые они могут обслуживать одновременно. Помимо допустимой нагрузки на сервер существуют также ограничения пропускной способности канала, который соединяет сервер с Интернетом. Когда количество запросов превышает производительность любого компонента инфраструктуры, может произойти следующее:
- Существенное замедление время ответа на запросы.
- Отказ в обслуживании всех запросов пользователей или части из них.
Как правило, конечной целью злоумышленника является полное прекращение работы веб-ресурса – «отказ в обслуживании». Злоумышленник может также потребовать деньги за остановку атаки. В некоторых случаях DDoS-атака может являться попыткой дискредитировать или разрушить бизнес конкурента.
Использование сети зомби-компьютеров для проведения DDoS-атак
Для отправки очень большого количества запросов на ресурс жертвы киберпреступник часто создает сеть из зараженных «зомби-компьютеров». Поскольку преступник контролирует действия каждого зараженного компьютера в зомби-сети, атака может быть слишком мощной для веб-ресурса жертвы.
Природа современных DDoS-угроз
В начале и середине 2000-х такая преступная деятельность была довольно распространенной. Однако количество успешных DDoS-атак уменьшается. Это, вероятно, обусловлено следующими факторами:
- Полицейские расследования, которые привели к аресту преступников по всему миру
- Технические контрмеры, которые успешно применяются для противодействия DDoS-атакам
Другие статьи и ссылки по теме «Распределенные сетевые атаки»
Распределенные сетевые атаки / DDoS
KasperskyDDoS-атака – это способ заблокировать работу сайта путем подачи большого количества запросов, превышающих пропускную способность сети. Научитесь защищать свою систему.
Что такое DDoS-атаки, и как защитить от них свой сайт?
Уменьшение зон, доступных для атаки
Одним из первых методов нейтрализации DDoS-атак является сведение к минимуму размера зоны, которую можно атаковать. Подобный прием ограничивает возможности злоумышленников для атаки и обеспечивает возможность создания централизованной защиты. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов, протоколов или приложений, взаимодействие с которыми не предусмотрено. Таким образом, сведение к минимуму количества возможных точек для атаки позволяет сосредоточить усилия на их нейтрализации. В некоторых случаях этого можно добиться, разместив свои вычислительные ресурсы за сетями распространения контента (CDN) или балансировщиками нагрузки и ограничив прямой интернет-трафик к определенным частям своей инфраструктуры, таким как серверы баз данных. Также можно использовать брандмауэры или списки контроля доступа (ACL), чтобы контролировать, какой трафик поступает в приложения.
План масштабирования
Двумя основными элементами нейтрализации крупномасштабных DDoS-атак являются пропускная способность (или транзитный потенциал) и производительность сервера, достаточная для поглощения и нейтрализации атак.
Транзитный потенциал. При проектировании приложений необходимо убедиться, что поставщик услуг хостинга предоставляет избыточную пропускную способность подключения к Интернету, которая позволяет обрабатывать большие объемы трафика. Поскольку конечная цель DDoS-атак – повлиять на доступность ресурсов или приложений, необходимо размещать их рядом не только с конечными пользователями, но и с крупными узлами межсетевого обмена трафиком, которые легко обеспечат вашим пользователям доступ к приложению даже при большом объеме трафика. Работа с интернет-приложениями обеспечивает еще более широкие возможности. В этом случае можно воспользоваться сетями распространения контента (CDN) и сервисами интеллектуального преобразования адресов DNS, которые создают дополнительный уровень сетевой инфраструктуры для обслуживания контента и разрешения DNS-запросов из мест, которые зачастую расположены ближе к конечным пользователям.
Сведения о типичном и нетипичном трафике
Развертывание брандмауэров для отражения сложных атак уровня приложений
Против атак, которые пытаются использовать уязвимость в приложении, например против попыток внедрения SQL-кода или подделки межсайтовых запросов, рекомендуется использовать Web Application Firewall (WAF). Кроме того, из-за уникальности этих атак вы должны быть способны самостоятельно нейтрализовать запрещенные запросы, которые могут иметь определенные характеристики, например могут определяться как отличные от хорошего трафика или исходить из подозрительных IP-адресов, из неожиданных географических регионов и т. д. Чтобы нейтрализовать происходящие атаки, иногда может быть полезно получить поддержку специалистов для изучения характеристик трафика и создания индивидуальной защиты.
Атаки Китая на собственный бизнес ударили по юаню: Госэкономика: Экономика: Lenta.ru
Китайские государственные облигации и юань подешевели на фоне спекуляций по поводу того, что зарубежные фонды активно избавляются от своих активов в стране, пишет Bloomberg. Этот удар связан с развитием ситуации с атакой Пекина на собственный бизнес, сопровождаемой ужесточением регулирования в ряде секторов.
Доходность десятилетних государственных облигаций выросла на семь базисных пунктов, до 2,94 процента, что стало максимумом за почти год. Курс национальной валюты страны на офшорном рынке упал на 0,6 процента и приблизился к апрельскому минимуму, составив 6,52 юаня за доллар. Продолжили снижение и биржевые индексы.
Материалы по теме
00:01 — 8 июля
Час расплаты.
Apple, Google и Facebook годами уходили от налогов. Как 130 стран мира заставят их заплатить миллиарды?
00:03 — 23 июля
«Рынок широко обсуждает, что некоторые американские фонды агрессивно распродают активы в Гонконге и Китае, так как США могут ограничить инвестиции в этих регионах. Мы не можем точно установить, правда это или нет, но рынок опасается, что иностранный капитал будет активно уходить с китайского рынка акций и облигаций», — объяснил трейдер из Guoyuan Securities Co Ли Кунькун.
Опасения возникли на фоне внезапного ужесточения политики Пекина в отношении образовательных компаний, последовавшего за атакой на технологический сектор. 23 июля стало известно, что Пекин решил затруднить работу и финансирование организациям, занимающимся сферой дополнительного школьного образования, что и вызвало обрушение стоимости их бумаг. Пострадали и акции технологического сектора, очередным за многие месяцы ударом по которому стал штраф, наложенный на Tencent.
Действия Пекина в отношении собственных компаний уже привели к негативным последствиям для местных компаний. По данным Bloomberg, китайские предприниматели в первой половине 2021 года понесли многомиллиардные потери.
Начало использования обучения имитации атаки — Office 365
- Чтение занимает 4 мин
В этой статье
Применяется к Microsoft Defender для Office 365 плана 2Applies to Microsoft Defender for Office 365 plan 2
Если в вашей организации Microsoft 365 E5 или Microsoft Defender для Office 365 Plan 2, который включает возможности расследования и реагирования на угрозы,вы можете использовать обучение имитации атаки на портале Microsoft 365 Defender для запуска реалистичных сценариев атак в вашей организации.If your organization has Microsoft 365 E5 or Microsoft Defender for Office 365 Plan 2, which includes Threat Investigation and Response capabilities, you can use Attack simulation training in the Microsoft 365 Defender portal to run realistic attack scenarios in your organization. Эти смоделированные атаки помогут вам определить и найти уязвимых пользователей до того, как реальная атака сказывается на вашей нижней строке.These simulated attacks can help you identify and find vulnerable users before a real attack impacts your bottom line. Подробнее читайте в этой статье.Read this article to learn more.
Что нужно знать перед началом работыWhat do you need to know before you begin?
Чтобы открыть портал Microsoft 365 Defender, перейдите на сайт https://security.microsoft.com.To open the Microsoft 365 Defender portal, go to https://security.microsoft.com. Обучение моделированию атак доступно на тренинге по моделированию атак по электронной почте и > совместной работе.Attack simulation training is available at Email and collaboration > Attack simulation training. Чтобы перейти непосредственно к обучению имитации атаки, откройте https://security.microsoft.com/attacksimulator .To go directly to Attack simulation training, open https://security.microsoft.com/attacksimulator.
Дополнительные сведения о доступности учебных занятий по имитации атаки в различных Microsoft 365 подписках см. в описании службы Microsoft Defender для Office 365.For more information about the availability of Attack simulation training across different Microsoft 365 subscriptions, see Microsoft Defender for Office 365 service description.
Вам необходимо получить разрешения на портале Microsoft 365 Defender или в Azure Active Directory, прежде чем вы сможете сделать процедуры в этой статье.You need to be assigned permissions in the Microsoft 365 Defender portal or in Azure Active Directory before you can do the procedures in this article. В частности, вам необходимо быть членом
- Администраторы симулятора атак. Создайте и управляйте всеми аспектами кампаний имитации атак.Attack Simulator Administrators: Create and managed all aspects of attack simulation campaigns.
- Авторы полезной нагрузки симулятора атаки. Создайте полезной нагрузки, которые администратор может инициировать позже.Attack Simulator Payload Authors: Create attack payloads that an admin can initiate later.
Дополнительные сведения см. в «Разрешениях» на портале Microsoft 365 Defender или о ролях администратора.For more information, see Permissions in the Microsoft 365 Defender portal or About admin roles.
Соответствующие кодлеты PowerShell для подготовки к имитации атаки не имеются.There are no corresponding PowerShell cmdlets for Attack simulation training.
Имитация атаки и связанные с обучением данные хранятся с другими данными клиентов для Microsoft 365 служб.Attack simulation and training related data is stored with other customer data for Microsoft 365 services. Дополнительные сведения см. в Microsoft 365 расположения данных.For more information see Microsoft 365 data locations. Моделирование атак доступно в следующих регионах: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM и CHE.Attack simulation is available in the following regions: NAM, APC, EUR, IND, CAN, AUS, FRA, GBR, JPN, KOR, BRA, LAM and CHE.
С 15 июня 2021 г. обучение имитации атаки доступно в GCC.As of June 15 2021, Attack simulation training is available in GCC. Если в вашей организации Office 365 G5 GCC или Microsoft Defender для Office 365 (План 2) для правительства, вы можете использовать обучение имитации атаки на портале Microsoft 365 Defender для запуска реалистичных сценариев атак в вашей организации, как описано в этой статье.If your organization has Office 365 G5 GCC or Microsoft Defender for Office 365 (Plan 2) for Government, you can use Attack simulation training in the Microsoft 365 Defender portal to run realistic attack scenarios in your organization as described in this article. Обучение моделированию атак пока не доступно в GCC среде High или DoD.Attack simulation training is not yet available in GCC High or DoD environments.
Примечание
Обучение имитации атак предоставляет клиентам E3 подмножество возможностей в качестве пробной пробной части.Attack simulation training offers a subset of capabilities to E3 customers as a trial. В пробном предложении содержится возможность использования полезной нагрузки Credential Harvest и возможность выбора обучающих опытом «Фишинг isA» или «Mass Market Phishing».The trial offering contains the ability to use a Credential Harvest payload and the ability to select ‘ISA Phishing’ or ‘Mass Market Phishing’ training experiences. Никакие другие возможности не являются частью пробного предложения E3.No other capabilities are part of the E3 trial offering.
МоделированиеSimulations
Фишинг — это общий термин для атак электронной почты, которые пытаются украсть конфиденциальные сведения в сообщениях, которые, как представляется, являются законными или доверенными отправителями.Phishing is a generic term for email attacks that try to steal sensitive information in messages that appear to be from legitimate or trusted senders. Фишинг является частью подмножества методов, которые мы классифицировать как социальные инженерии.Phishing is a part of a subset of techniques we classify as social engineering.
В обучении моделированию атак доступны несколько типов методов социальной инженерии:In Attack simulation training, multiple types of social engineering techniques are available:
Сбор учетных данных. Злоумышленник отправляет получателю сообщение с URL-адресом.Credential harvest: An attacker sends the recipient a message that contains a URL. Когда получатель щелкает URL-адрес, он передается на веб-сайт, на который обычно указывается диалоговое окно с запросом имени пользователя и пароля.When the recipient clicks on the URL, they’re taken to a website that typically shows a dialog box that asks the user for their username and password. Как правило, для создания доверия к пользователю на странице назначения используется themed для представления известного веб-сайта.Typically, the destination page is themed to represent a well-known website in order to build trust in the user.
Вложение вредоносных программ. Злоумышленник отправляет получателю сообщение, содержаное вложение.Malware attachment: An attacker sends the recipient a message that contains an attachment. Когда получатель открывает вложение, произвольный код (например, макрос) запускается на устройстве пользователя, чтобы помочь злоумышленнику установить дополнительный код или закрепить себя.When the recipient opens the attachment, arbitrary code (for example, a macro) is run on the user’s device to help the attacker install additional code or further entrench themselves.
Ссылка в приложении. Это гибрид сбора учетных данных.Link in attachment: This is a hybrid of a credential harvest. Злоумышленник отправляет получателю сообщение, содержаное URL-адрес внутри вложения.An attacker sends the recipient a message that contains a URL inside of an attachment. Когда получатель открывает вложение и щелкает ПО URL-адресу, он передается на веб-сайт, который обычно показывает диалоговое окно, в которое пользователь спрашивает имя пользователя и пароль.When the recipient opens the attachment and clicks on the URL, they’re taken to a website that typically shows a dialog box that asks the user for their username and password. Как правило, для создания доверия к пользователю на странице назначения используется themed для представления известного веб-сайта.Typically, the destination page is themed to represent a well-known website in order to build trust in the user.
Ссылка на вредоносные программы: злоумышленник отправляет получателю сообщение, содержаное ссылку на вложение на известном сайте общего доступа к файлам (например, SharePoint Online или Dropbox).Link to malware: An attacker sends the recipient a message that contains a link to an attachment on a well-known file sharing site (for example, SharePoint Online or Dropbox). Когда получатель щелкает URL-адрес, открывается вложение и произвольный код (например, макрос) запускается на устройстве пользователя, чтобы помочь злоумышленнику установить дополнительный код или закрепить себя.When the recipient clicks on the URL, the attachment opens and arbitrary code (for example, a macro) is run on the user’s device to help the attacker install additional code or further entrench themselves.
Url-адрес drive-by-url. Злоумышленник отправляет получателю сообщения, содержавшие URL-адрес.Drive-by-url: An attacker sends the recipient a messages that contains a URL. Когда получатель щелкает URL-адрес, он передается на веб-сайт, который пытается запустить фоновый код.When the recipient clicks on the URL, they’re taken to a website that tries to run background code. Этот фоновый код пытается собрать сведения о получателе или развернуть произвольный код на своем устройстве.This background code attempts to gather information about the recipient or deploy arbitrary code on their device. Как правило, веб-сайт назначения — это хорошо известный веб-сайт, который был скомпрометирован или клон известного веб-сайта.Typically, the destination website is a well-known website that has been compromised or a clone of a well-known website. Знакомство с веб-сайтом помогает убедить пользователя в том, что ссылка является безопасной для нажатия.Familiarity with the website helps convince the user that the link is safe to click. Этот метод также известен как атака отверстия для поливка.This technique is also known as a watering hole attack.
Примечание
Проверьте доступность смоделированных URL-адресов фишинга в поддерживаемых веб-браузерах перед использованием URL-адреса в фишинговой кампании.Check the availability of the simulated phishing URL in your supported web browsers before you use the URL in a phishing campaign. Хотя мы работаем со многими поставщиками репутации URL-адресов, чтобы всегда разрешал эти URL-адреса моделирования, у нас не всегда есть полный охват (например, Google Сейф Browsing).While we work with many URL reputation vendors to always allow these simulation URLs, we don’t always have full coverage (for example, Google Safe Browsing). Большинство поставщиков предоставляют рекомендации, которые позволяют всегда разрешать определенные URL-адреса (например, https://support.google.com/chrome/a/answer/7532419 ).Most vendors provide guidance that allows you to always allow specific URLs (for example, https://support.google.com/chrome/a/answer/7532419).
URL-адреса, используемые в обучении имитации атаки, описаны в следующем списке:The URLs that are used by Attack simulation training are described in the following list:
Создание имитацииCreate a simulation
Инструкции по созданию и отправке нового моделирования см. в инструкции по имитации фишинговой атаки.For step by step instructions on how to create and send a new simulation, see Simulate a phishing attack.
Создание полезной нагрузкиCreate a payload
Инструкции по созданию полезной нагрузки для использования в имитации см. в инструкции по созданию настраиваемой полезной нагрузки для обучения имитации атаки.For step by step instructions on how to create a payload for use within a simulation, see Create a custom payload for Attack simulation training.
Получение информацииGaining insights
Инструкции по пошаговую информацию о том, как получить сведения с отчетами, см. в рублях Gain insights through Attack simulation training.For step by step instructions on how to gain insights with reporting, see Gain insights through Attack simulation training.
Примечание
Симулятор атаки использует Сейф Ссылки в Defender для Office 365 для безопасного отслеживания щелкающих данных для URL-адреса в сообщении полезной нагрузки, которое отправляется целевым получателям фишинговой кампании, даже если включен параметр Не отслеживать щелчок пользователя в Сейф политиках ссылок.Attack Simulator uses Safe Links in Defender for Office 365 to securely track click data for the URL in the payload message that’s sent to targeted recipients of a phishing campaign, even if the Do not track user clicks setting in Safe Links policies is turned on.
Поверхность атаки и ее сокращение
Когда речь заходит об интеллектуальной киберзащите для малого и среднего бизнеса (SMB), сокращение поверхности атаки обретает критическое значение. Максимальное сокращение поверхности атаки — ключевая задача для обеспечения безопасности.
Поверхность атаки — это количество способов, которыми злоумышленник может воспользоваться, чтобы проникнуть в устройство или сеть и извлечь из них данные. Ее понимание и контроль помогут снизить уязвимость для цифровых угроз.
Во многих компаниях в сегменте SMB уверены, что их бизнес слишком мал, чтобы стать мишенью киберпреступников. Но при беглом взгляде на их поверхность атаки часто становятся видны потенциальные точки доступа в их ИТ-сеть или другие уязвимости, которыми можно воспользоваться для кибератаки или создания утечки данных.
Реальность такова, что вероятность кибератаки на малый бизнес остается высокой. Недавние исследования показывают, что 43 % кибератак нацелено на малый бизнес, но лишь 14 % таких компаний готовы себя защитить. И чаще всего компании сегмента SMB терпят существенные убытки в результате атаки. В одном из отчетов приведена оценка затрат, необходимых компаниям для устранения последствий утечки. Предприятию, имеющему менее 500 сотрудников, это в среднем обходится в 2,5 миллиона долларов США. И эта сумма растет с каждым годом. В некоторых отраслях с жестким регулированием компании продолжают нести убытки на второй и третий год после атаки.
Лучшее понимание своей ИТ-среды и элементов поверхности атаки, с которыми связаны риски, станет хорошим началом при выстраивании защиты, действующей на опережение.
Каковы ключевые поверхности атаки?
Устройства и люди являются двумя ключевыми составляющими поверхности атаки.
Устройства
Сегодня компании подключаются к Интернету с помощью все большего количества устройств. Это дает киберпреступникам больше точек входа, позволяющих осуществить кибератаку.
Объем данных, генерируемых при использовании этих устройств, растет взрывообразно, а по результатам последнего исследования количество подключенных устройств Интернета вещей по всему миру к 2030 г. достигнет 50 миллиардов.
Если учесть киберугрозы и потенциальные уязвимости операционных систем и других программ, можно более четко осознать, почему с устройствами связаны потенциальные риски и как они могут существенно увеличить поверхность атаки.
Атаки стандартных и гибридных программ-вымогателей представляют существенную опасность для устройств. Опасность атак такого типа заключается в том, что хакеры получают контроль над устройством, после чего требуют у пользователя выкуп за возвращение доступа к данным. Сегодня программы-вымогатели также распространяются в гибридной форме. Комбинируя программы-вымогатели с возможностями вирусов, злоумышленники могут атаковать не одно устройство, а целую сеть.
На основе имеющихся данных можно предположить, что атаки программ-вымогателей на бизнес в 2021 г. будут происходить каждые 11 секунд. В последнем отчете Data Breach Investigations Report (DBIR), составленном компанией Verizon, сообщается, что 27 % инцидентов, связанных с вредоносными программами, приходится на программы-вымогатели. В другом исследовании сообщается, что за последние два года 85 % поставщиков управляемых услуг сообщали об атаках программ-вымогателей на предприятия малого и среднего бизнеса, а за первые шесть месяцев 2019 г. с атаками сталкивались 56 % из них.
Люди
Сложные кибератаки в первую очередь ориентированы на сотрудников, так как они зачастую являются самым слабым звеном в цепочке цифровой безопасности. В отчете Verizon DBIR-2020 утверждается, что 22 % утечек данных происходит из-за человеческой ошибки. По данным Gartner, 95 % облачных утечек вызвано человеческими ошибками, например недочетами конфигурации. Изменений в этом отношении не ожидается.
Политики паролей и другие меры защиты, предназначенные для защиты пользователей, такие как многофакторная аутентификация (MFA), не являются стандартной практикой, применяемой в большинстве организаций малого и среднего бизнеса, что увеличивает риски. Более того, недавнее исследование показало, что пароли по-прежнему являются источником проблем: 91 % людей знают, что использование одинаковых паролей в разных учетных записях ставит безопасность под угрозу, но 66 % продолжают это делать.
Кроме того, злоумышленники используют методы социальной инженерии, чтобы получать доступ к сетям с помощью сотрудников. Эти методы помогают обманным путем получить от сотрудников конфиденциальную информацию компании. Злоумышленники часто связываются с сотрудниками по электронной почте, выдавая себя за представителей доверенной организации или обращаясь от лица коллег. Большинство сотрудников не обладают знаниями, необходимыми для защиты от таких атак с использованием передовых методов социальной инженерии.
Исследование показало, что 70–90 % вредоносных утечек данных приходится на социальную инженерию того или иного рода.
Как можно уменьшить поверхность атаки?
Чтобы уменьшить поверхность атаки, организации малого и среднего бизнеса должны регулярно оценивать уязвимости, защищать слабые места и отслеживать аномалии.
Как оценивать уязвимости?
Первым шагом при оценке потенциальных уязвимостей является определение всех физических и виртуальных компьютерных устройств в компании или организации. Этот список должен включать в себя все возможные поверхности атаки:
- рабочие станции и ноутбуки;
- сетевые файловые серверы;
- серверы сетевых приложений;
- корпоративные брандмауэры и коммутаторы;
- многофункциональные принтеры;
- мобильные устройства.
При такой оценке инфраструктуры необходимо различать облачные и локальные системы и устройства. Она упрощает определение всех возможных мест хранения данных.
Давайте посмотрим, где хранятся данные и где к ним получают доступ. Классифицируйте все бизнес-данные и разделите их на три расположения: облачную среду, локальные системы и устройства.
Например:
Облачная среда
- Электронная почта и приложения в облачной среде
- Облачное хранилище данных
- Сайты и социальные сети
Локальные системы
- Базы данных
- Общий доступ к файлам и их хранение
- Интеллектуальная собственность
Устройства
- Презентации
- Корпоративные служебные записки
- Статистика и отчеты
Затем проанализируйте, кто имеет доступ и каков характер этого доступа. Эта третья и последняя оценка поверхности атаки используется для получения информации о поведении каждого отдела или пользователя в организации, даже если эти пользователи неизвестны. Эти выводы можно разделить на те же три категории, включая следующие аспекты:
- доступ отдельных пользователей;
- многопользовательский доступ;
- доступ неизвестных пользователей.
Как вам защитить слабые места и отслеживать аномалии?
Следующим шагом после выполнения оценки является определение мер безопасности, необходимых при имеющейся у вас поверхности атаки. Используя правильное сочетание мер безопасности, можно защитить слабые места и обеспечить большую прозрачность своей сети.
Ниже приведен обзор ключевых служб безопасности, необходимых типичной компании малого и среднего бизнеса.
| Данные | Устройства | Люди |
|---|---|---|
Фильтрация контента | Антивирус Установка антивируса на все устройства — от ПК до мобильных телефонов — и мониторинг его работы имеют решающее значение для уменьшения поверхности атаки. | Безопасная аутентификация |
Шифрование электронной почты | Управление исправлениями Уязвимости в операционных системах и программах — частое явление. Но их можно устранить, устанавливая исправления и поддерживая актуальность версий программного обеспечения. | Безопасная удаленная работа В связи с пандемией COVID-19 бизнес столкнулся с необходимостью перехода на работу из дома. Удаленным сотрудникам необходимо подключаться к корпоративным сетям с помощью службы VPN, шифрующей весь трафик, чтобы обеспечить безопасный доступ к данным и приложениям компании. |
Защита от потери данных (DLP) | Регулярное сканирование на наличие уязвимостей | Определение политик и процессов |
| Облачное резервное копирование Несмотря на все принятые меры предосторожности, важно иметь надежное решение для аварийного восстановления (BDR), с помощью которого можно будет быстро восстановить работу одним нажатием кнопки. | Защита веб-серверов | Обучение мерам безопасности Сотрудники не смогут защитить себя от неизвестных им угроз. Крайне важно обучать сотрудников способам самозащиты. Они должны уметь создавать надежные пароли и распознавать фишинговые атаки. |
Насколько хорошо вы понимаете свою поверхность атаки и киберугрозы?
Малые и средние компании сталкиваются с угрозами, тип которых непрерывно меняется. Проблема усугубляется рисками, связанными с человеческими ошибками, и необходимостью повышения грамотности в вопросах защиты. Опираясь на знание ключевых мер безопасности и используя такие средства, как управляемая защита, действующая на опережение, компании и организации смогут лучше осознать свою поверхность атаки и связанные риски и внедрить надежную и эффективную по затратам систему кибербезопасности, чтобы сократить поверхность атаки и снизить подверженность угрозам.
WP: разведка США считает Россию ответственной за атаки «направленной энергией» — Международная панорама
ВАШИНГТОН, 27 июня. /ТАСС/. Разведсообщество США предполагает, что Россия якобы несет ответственность за несколько загадочных инцидентов с американскими госслужащими за рубежом, которые, по некоторым утверждениям, могли подвергнуться тайным акустическим или иным атакам с возможным применением «направленной энергии». Об этом сообщила в воскресенье газета The Washington Post со ссылкой на источники.
По сведениям издания, сотрудники американской разведки теперь подозревают, что ответственность за атаки с возможным применением микроволн или других форм «направленной энергии», якобы несет Россия. На фоне новых этапов расследований нужно убедиться, что все понято правильно», цитирует газета представителя вашингтонской администрации высокого ранга. Он не приводит доказательств приписываемой Москве вины в совершении такого рода атак.
В Белом доме, Госдепартаменте и аппарате директора Национальной разведки США Эврил Хейнс пока не ответили на просьбу корреспондента ТАСС подтвердить и прокомментировать эти утверждения.
В мае газета Politico сообщила, что некоторые представители американских властей, занимающиеся расследованием возможных атак с применением «направленной энергии», считают, что к подобной деятельности может быть якобы причастно «российское ГРУ». В то же время подтверждения «связи между российской военной разведкой и инцидентами с направленной энергией нет», отметило тогда издание.
В начале июня на слушаниях в Сенате Конгресса США американский госсекретарь Энтони Блинкен заявил, что власти США не располагают информацией о том, кто несет ответственность за загадочные инциденты с американскими госслужащими за рубежом.
«Акустические атаки» или стрекот сверчков
Предыдущая администрация США утверждала, что в результате некоего внешнего воздействия, названного в американской печати «акустическими атаками», в Гаване с ноября 2016 года пострадали более 40 американских дипломатов. Власти Соединенных Штатов возложили на Кубу ответственность за эти инциденты. В сентябре 2017 года США в свете произошедшего отозвали на родину 60% сотрудников своего посольства в Гаване, а затем потребовали от Кубы сократить на 15 человек численность ее дипломатической миссии в Вашингтоне.
Гавана неоднократно отвергала причастность к инцидентам с американскими дипломатами. В октябре 2017 года кубинские эксперты также заявляли, что США могли принять за «акустические атаки» стрекот сверчков или цикад.
Весной 2018 года в США появились сообщения о том, что сотрудник консульства в Гуанчжоу мог подвергнуться «акустической атаке», подобной тем, от которых ранее, с точки зрения вашингтонской администрации, пострадали американские дипломаты на Кубе. В свою очередь правительство КНР подчеркнуло тогда, что не обнаружило признаков «акустической атаки» на работника консульства.
Новые случаи
В конце апреля 2021 года схожие сведения распространила газета Politico. Она утверждала, что загадочные атаки при помощи «направленной энергии» могли быть совершены на военнослужащих США, размещенных в Сирии, и что нельзя исключать причастности к этому России. Глава Центрального командования Вооруженных сил США генерал Кеннет Маккензи, в зону оперативной ответственности которого входит прежде всего Ближний Восток, фактически опроверг эту публикацию.
Затем телекомпания CNN сообщила, ссылаясь на неназванного бывшего американского чиновника, что один такой эпизод был прояснен практически сразу. Тогда симптомы, схожие с теми, которые бывают при заболевании гриппом, были выявлены у нескольких американских морских пехотинцев в Сирии. Кто-то увязал случившееся с незадолго до этого имевшим место пролетом российского вертолета у военной базы США, на которой находились эти морские пехотинцы. Однако оказалось, что произошло пищевое отравление. Было быстро установлено, где именно морпехи употребили в пищу «испорченные продукты», заявил этот отставник. Кроме того, как признал в беседе с корреспондентом CNN представитель Пентагона, военные медики США определили, что недомогание у морпехов началось еще до появления у их базы российских военнослужащих.
По данным CNN, власти США ведут расследование еще как минимум по двум подобным инцидентам, произошедшим в Вашингтоне и его окрестностях в 2019-2020 годах.
В обнародованном 30 апреля совместном письменном заявлении руководители специального комитета по разведке Сената — демократ Марк Уорнер и республиканец Марко Рубио — утверждали, что число предположительных тайных акустических или иных атак с возможным применением «направленной энергии» на персонал США за рубежом, по всей видимости, увеличивается.
Байден: Если у США будет «настоящая стреляющая война», это может быть результатом кибератак.
ВАШИНГТОН, 27 июля (Рейтер) — Президент Джо Байден во вторник предупредил, что если Соединенные Штаты окажутся в «настоящей стреляющей войне» с «крупной державой» это могло быть результатом серьезной кибератаки на страну, подчеркивая то, что Вашингтон считает растущими угрозами со стороны России и Китая.
Кибербезопасность стала приоритетом для администрации Байдена после серии громких атак на такие организации, как компания по управлению сетью SolarWinds, компания Colonial Pipeline, компания по переработке мяса JBS и компания-разработчик программного обеспечения Kaseya, нанесшая ущерб U.С. далеко не только взломанные компании. Некоторые из нападений затронули запасы топлива и продовольствия в некоторых частях Соединенных Штатов.
«Я думаю, что более чем вероятно, что мы закончим, если мы закончим войну — настоящую стреляющую войну с крупной державой — это будет следствием кибербезопасности с большими последствиями, и это увеличивая экспоненциально, возможности », — сказал Байден во время получасовой речи во время посещения офиса директора национальной разведки (ODNI).
Во время встречи на высшем уровне 16 июня в Женеве между Байденом и президентом России Владимиром Путиным Байден поделился списком важнейших объектов инфраструктуры США.С. считает запрещенным для субъектов национального государства.
С тех пор высокопоставленные члены команды национальной безопасности администрации Байдена поддерживают постоянный контакт с высокопоставленными членами Кремля по поводу кибератак на Соединенные Штаты, заявил Белый дом.
Президент США Джо Байден уезжает после того, как выступил с речью перед «сотрудниками разведывательного сообщества и его руководством» во время визита в офис директора национальной разведки в соседнем Маклине, штат Вирджиния, недалеко от Вашингтона, США.S., 27 июля 2021 г. REUTERS / Evelyn HocksteinБайден также подчеркнул угрозы, исходящие от Китая, назвав президента Си Цзиньпина «смертоносным стремлением стать самой мощной военной силой в мире, а также крупнейшей и наиболее заметной». экономика в мире к середине 40-х, 2040-х годов ».
Во время своего выступления перед 120 сотрудниками ODNI и высокопоставленными руководителями Байден также поблагодарил сотрудников американских спецслужб, подчеркнул свою уверенность в выполняемой ими работе и сказал, что не будет оказывать на них политического давления.ODNI курирует 17 разведывательных организаций США.
«Я никогда не буду политизировать вашу работу. Даю слово», — сказал он. «Это слишком важно для нашей страны», — сказал он.
Комментарии Байдена явно отличались от замечаний его предшественника Дональда Трампа, у которого были противоречивые отношения со спецслужбами по таким вопросам, как его оценка того, что Россия вмешалась, чтобы помочь Трампу победить на выборах 2016 года, и ее роль в раскрытии того, что Трамп оказывал давление. Украина расследует Байдена.
Трамп за четыре года своего правления сменил четырех постоянных или исполняющих обязанности директора национальной разведки.
Отчет Нандиты Бозе в Вашингтоне; редактирование Грант МакКул
Наши стандарты: принципы доверия Thomson Reuters.
Определение атаки Merriam-Webster
at · tack | \ ə-ˈtak \атаковали; атакующий; нападения
переходный глагол
1 : атаковать или действовать с применением силы атаковать вражеское укрепление
2 : атаковать недружественными или горькими словами политик подвергается словесным нападкам критиков
3 : начать воздействовать или действовать вредно растения, пораженные тлей
4а : приступить к работе атаковать проблему
б : начать есть (пищу) с нетерпением За столом он атаковал свою еду с такой целеустремленной свирепостью, что, как выразился Босуэлл, было противно тем, чьи ощущения были деликатными.- Дональд Р. ДеГлоппер
5 шахматы : угрожать (фигуре) немедленным взятием
1 : нападение с применением физической силы или недружественными словами : нападение словесная атака на жертву ножевого нападения2 : воинственное или антагонистическое действие начал атаку на своих политических оппонентов
3а : приступ болезни особенно : активный эпизод хронического или рецидивирующего заболевания. приступ бронхита
б : период сильного влияния чего-либо (например, желания или настроения) приступ дрожи
c : агрессивная попытка взять или опередить других в гонке (например, велогонке). … Он сокрушил своих соперников на первых горных этапах, проводя относительно длинные одиночные атаки.- Самуэль Абт
4а : наступление или результативное действие выиграл игру атакой из 8 ударов
б : нападающих или занимаемых ими позиций
5 : настройка для работы над каким-то делом сделал новую атаку на проблему новый план атаки
6 : начало разрушающего действия (как химическим агентом)
7 Музыка : действие или способ начала музыкального тона или фразы.
в атаке: совершение атаки Солдаты атаковали.- часто используется во фразе «идти в атаку» со значением «начать атаковать» На прошлой неделе он вызвал Брэдли на дебаты и пошел в атаку, обвинив своего соперника в «нелояльности» партии… — Мэтт Бай
под атакой : в процессе атаки солдаты атакованы политик, атакованный его противниками — часто используется во фразе подвергнуться нападкам со значением «начать атаку» теория, которая недавно подверглась критике1 : спроектировано, запланировано или использовано для проведения военного нападения. ударный вертолет
2 : выражая или вовлекая агрессивно негативную и резкую критику кого-либо (например, политического оппонента) Рекламные объявления о нападениях В начале моей журнальной карьеры я временами участвовал в той форме журналистских атак, которая сегодня наполняет меня угрызениями совести — выбирая цель и отправляя репортера, чтобы вернуть скальп.- Дэниел Окрент
серьезных киберинцидентов | Центр стратегических и международных исследований
На этой временной шкале зафиксированы значительные киберинциденты с 2006 года.Мы специализируемся на кибератаках на государственные учреждения, оборонные и высокотехнологичные компании, а также на экономических преступлениях с потерями более миллиона долларов.
Скачать полный список происшествий
Ниже приводится сводка инцидентов за последний год. Чтобы просмотреть полный список, щелкните ссылку для загрузки выше.
Июнь 2021 г. Россия заявила, что ежегодная телефонная сессия Владимира Путина была целью DDoS-атак.
июнь 2021 г. Хакерская группа, говорящая по-китайски, возглавила продолжающуюся шпионскую деятельность против правительства Афганистана с помощью фишинговых писем. Хакеры выдавали себя за канцелярию президента Афганистана и нападали на Совет национальной безопасности Афганистана (СНБ).
Июнь 2021 г. Правительство Ирана начало широкомасштабную кампанию дезинформации, направленную на группы WhatsApp, каналы Telegram и приложения для обмена сообщениями, используемые израильскими активистами. Кампания была направлена на разжигание политических волнений и недоверия в Израиле.
Июнь 2021 г. Китайские субъекты нацелены на организации, включая Verizon и Metropolitan Water District в Южной Калифорнии, используя платформу, используемую многочисленными правительственными учреждениями и компаниями для безопасного удаленного доступа к их сетям.
Июнь 2021 г. Хакеры, связанные со Службой внешней разведки России, установили вредоносное ПО в системе Microsoft, которое позволило хакерам получить доступ к учетным записям и контактной информации.
июнь 2021 г. Правительства США и Великобритании объявили, что Главное разведывательное управление Генерального штаба (ГРУ) России в период с 2019 по 2021 год использовало серию попыток доступа методом грубой силы к сотням государственных и частных целей по всему миру, нацеленных на организации, использующие облачные сервисы Microsoft Office 365®.
июнь 2021 года. Военно-морской институт США (USNI) заявил, что данные слежения за двумя кораблями НАТО, HMS Defender Королевского флота Великобритании и HNLMS Evertsen Королевского флота Нидерландов, были сфальсифицированы у побережья контролируемой Россией военно-морской базы в Черном Море.По поддельным данным, два военных корабля располагались у входа в крупную военно-морскую базу России.
Июнь 2021 г. Согласно сообщениям, кибератака из России была направлена против более 30 видных польских чиновников, министров и депутатов политических партий, а также некоторых журналистов, взломав их почтовые ящики.
Июнь 2021 г. Sol Oriens, небольшой государственный подрядчик, работающий на Министерство энергетики по вопросам ядерного оружия, подвергся нападению со стороны связанной с Россией хакерской группы REvil.
Июнь 2021 года. В WhatsApp произошла утечка электронной таблицы, содержащей секретные личные данные 1182 солдат спецназа Соединенного Королевства.
Июнь 2021 г. Атака программы-вымогателя была нацелена на iConstituent, службу информационных бюллетеней, которую законодатели США используют для связи с избирателями.
июнь 2021 года. Хакеры, работающие от имени российских спецслужб, предположительно взломали внутреннюю сеть полиции Нидерландов в 2017 году. Атака произошла во время расследования страной рейса 17 Малазийских авиалиний (Mh27), сбитого в 2014 году.
Май 2021 года. LineStar Integrity Services, бизнес, ориентированный на конвейер, одновременно с Colonial Pipeline подвергся атаке программ-вымогателей, при этом было украдено 70 гигабайт его внутренних файлов.
Май 2021 г. Кибератака Северной Кореи на государственный Корейский научно-исследовательский институт атомной энергии (KAERI) произошла из-за уязвимости в VPN поставщика.
Май 2021 г. Крупнейшая в мире мясоперерабатывающая компания JBS, базирующаяся в Бразилии, стала жертвой атаки с использованием программ-вымогателей.В результате атаки были остановлены предприятия в США, Канаде и Австралии. Атака была приписана русскоязычной киберпреступной группе REvil.
Май 2021 г. 24 мая хакеры получили доступ к системам Fujitsu и украли файлы, принадлежащие нескольким правительственным организациям Японии. Пока что пострадали четыре правительственных учреждения.
, , май 2021 г.Цели группы базировались в Южной Корее и включали: Корейское агентство Интернета и безопасности (KISA), Министерство иностранных дел Республики Корея, Посол посольства Шри-Ланки в государстве (в РК), Сотрудник по ядерной безопасности Международного агентства по атомной энергии, Заместитель генерального консула в Генеральном консульстве Кореи в Гонконге, Сеульском национальном университете и Daishin Securities.
Май 2021 г. . 14 мая национальная служба здравоохранения Ирландии, Health Service Executive (HSE), стала жертвой атаки с использованием программы-вымогателя.Обнаружив атаку, государственные органы отключили систему HSE. Злоумышленники использовали программу-вымогатель Conti как услугу (RaaS), которая, как сообщается, принадлежит российской киберпреступной группе.
Май 2021 г. . ФБР и Австралийский центр кибербезопасности предупредили о продолжающейся кампании вымогателей Avaddon, нацеленной на несколько секторов в разных странах. Сообщается, что целевыми странами являются Австралия, Бельгия, Бразилия, Канада, Китай, Коста-Рика, Чешская Республика, Франция, Германия, Индия, Индонезия, Италия, Иордания, Перу, Польша, Португалия, Испания, ОАЭ, Великобритания, США.Целевые отрасли включают: академические круги, авиалинии, строительство, энергетику, оборудование, финансы, грузовые перевозки, правительство, здравоохранение, информационные технологии, правоохранительные органы, производство, маркетинг, розничную торговлю, фармацевтику.
Май 2021 г. . 6 мая Colonial Pipeline, крупнейший топливопровод в Соединенных Штатах, стал целью атаки вымогателей. Энергетическая компания закрыла трубопровод, а затем заплатила выкуп в размере 5 миллионов долларов. Атака приписывается русскоязычной хакерской группе DarkSide.
Май 2021 г. . 4 и 5 мая норвежская энергетическая компания Volue стала жертвой атаки программы-вымогателя. В результате нападения были остановлены водопроводные и водоочистные сооружения в 200 муниципалитетах, что затронуло примерно 85% населения Норвегии.
Май 2021 г. . В результате крупномасштабной DDoS-атаки был отключен интернет-провайдер, используемый правительством Бельгии, затронувший более 200 организаций, что привело к отмене нескольких заседаний парламента
Май 2021 г. .Китайская хакерская группа взломала российского оборонного подрядчика, занимавшегося проектированием атомных подводных лодок для ВМФ России.
Апрель 2021 г. . Хакерская группа взломала аккаунты польских официальных лиц в социальных сетях и использовала их для распространения критических высказываний в адрес НАТО. Власти Германии сообщили, что та же группа также пыталась скомпрометировать членов Бундестага и парламента страны.
Апрель 2021 г. . Хакеры, связанные с китайскими военными, начали шпионскую кампанию против военных и правительственных организаций в Юго-Восточной Азии, начиная с 2019 года
Апрель 2021 г. .Вредоносное ПО вызвало сбой в работе систем бронирования авиабилетов, что привело к сбою сетей 20 бюджетных авиакомпаний по всему миру
Апрель 2021 г. . Российские хакеры атаковали украинских правительственных чиновников с помощью целевого фишинга, поскольку в начале 2021 года напряженность между двумя странами возросла.
Апрель 2021 г. . Хакеры, связанные с палестинской разведкой, провели кампанию кибершпионажа, скомпрометировав примерно 800 палестинских репортеров, активистов и диссидентов как в Палестине, так и на Ближнем Востоке в целом.
Апрель 2021 г. . Две поддерживаемые государством хакерские группы, одна из которых работает от имени правительства Китая, использовали уязвимости в службе VPN для нацеливания на организации в США и Европе, уделяя особое внимание оборонным подрядчикам США.
Апрель 2021 г. . MI5 предупредила, что более 10 000 британских специалистов по бритью стали мишенью враждебных государств за последние пять лет в рамках кампаний целевого фишинга и социальной инженерии в LinkedIn.
Апрель 2021 г. .Шведские официальные лица сообщили, что Шведская спортивная конфедерация была взломана российской военной разведкой в конце 2017 — начале 2018 года в ответ на обвинения в допинге российских спортсменов, спонсируемом российским правительством.
Апрель 2021 г. Управление городского транспорта Нью-Йорка (MTA) было взломано при поддержке Китая, но не смогло получить доступ к пользовательским данным или информационным системам.
Апрель 2021 г. . Французские исследователи в области безопасности обнаружили, что в 2020 году во время пандемии COVID-19 количество атак на критически важные французские предприятия увеличилось в четыре раза.
Апрель 2021 г. . Европейская комиссия объявила, что ЕК и несколько других организаций ЕС пострадали от крупной кибератаки неизвестных.
Апрель 2021 г. . Во второй половине 2020 года китайские хакеры начали месячную кампанию кибершпионажа, нацеленную на правительственные учреждения во Вьетнаме с целью сбора политической разведки
Март 2021 г. . Северокорейская хакерская группа, ответственная за серию атак на исследователей кибербезопасности в январе 2021 года, запустила новую кампанию, нацеленную на профессионалов в области информационной безопасности, использующих поддельные профили в социальных сетях и поддельный веб-сайт для несуществующей цели компании службы безопасности.
Март 2021 г. . Подозреваемые иранские хакеры напали на медицинских исследователей в Израиле и США в попытке украсть полномочия генетиков, неврологов и онкологов в двух странах
Март 2021 г. . Подозреваемые российские хакеры украли тысячи электронных писем после взлома почтового сервера Госдепартамента США
Март 2021 г. . Предполагаемые государственные хакеры нацелились на австралийскую медиа-компанию Nine Entertainment с помощью варианта вымогателя, нарушившего прямые трансляции и системы печати.
Март 2021 г. . Подозреваемые российские хакеры пытались получить доступ к личным адресам электронной почты парламентариев Германии в преддверии национальных выборов в Германии
Март 2021 г. . Киберкомандование США подтвердило, что помогает Колумбии реагировать на вмешательство в выборы и операции по оказанию влияния.
Март 2021 г. . Глава Киберкомандования США заявил, что организация провела более двух десятков операций по противодействию иностранным угрозам в преддверии U.С. выборы, в том числе одиннадцать передовых охотничьих операций в девяти разных странах.
Март 2021 г. . Группа китайских хакеров использовала Facebook для рассылки вредоносных ссылок уйгурским активистам, журналистам и диссидентам, находящимся за границей.
Март 2021 г. . Индийская группа реагирования на компьютерные чрезвычайные ситуации обнаружила доказательства того, что китайские хакеры проводят кампанию кибершпионажа против индийского транспортного сектора
Март 2021 г. . Польские службы безопасности заявили, что подозреваемые российские хакеры ненадолго захватили сайты Польского национального агентства по атомной энергии и Министерства здравоохранения, чтобы распространять ложные предупреждения о несуществующей радиоактивной угрозе.
Март 2021 года. В 2020 году российские и китайские спецслужбы напали на Европейское агентство по лекарственным средствам в ходе несвязанных кампаний, похищая документы, связанные с вакцинами и лекарствами от COVID-19.
Март 2021 г. . Служба государственной безопасности Украины объявила, что предотвратила крупномасштабную атаку хакеров ФСБ России, пытавшихся получить доступ к секретным правительственным данным.
Март 2021 года. Департамент государственной безопасности Литвы заявил, что российские хакеры атаковали высших должностных лиц Литвы в 2020 году и использовали ИТ-инфраструктуру страны для проведения атак на организации, участвующие в разработке вакцины COVID-19.
Март 2021 г. Предполагаемые иранские хакеры нацелены на правительственные учреждения, научные круги и туристическую отрасль в Азербайджане, Бахрейне, Израиле, Саудовской Аравии и ОАЭ в рамках кампании кибершпионажа.
Март 2021 г. . Китайские правительственные хакеры нацелились на программное обеспечение корпоративной электронной почты Microsoft, чтобы украсть данные от более чем 30 000 организаций по всему миру, включая правительственные учреждения, законодательные органы, юридические фирмы, подрядчиков защиты, исследователей инфекционных заболеваний и аналитические центры.
Март 2021 г. . Подозреваемые китайские хакеры атаковали операторов электросетей в Индии, явно пытаясь заложить основу для возможных атак в будущем.
Февраль 2021 г. . Киберпреступная группа, говорящая на португальском языке, получила доступ к компьютерным системам в отделении Оксфордского университета, изучающем вакцины против COVID-19, и подозревается в продаже собранных данных национальным государствам.
Февраль 2021 г. . Северокорейские хакеры нацелились на оборонные фирмы более чем в десятке стран в рамках шпионской кампании, которая началась в начале 2020 года.
Февраль 2021 г. . Хакеры, связанные с китайскими вооруженными силами, провели кампанию слежки за тибетцами как в Китае, так и за рубежом.
Февраль 2021 г. . Российские хакеры взломали систему обмена файлами украинского правительства и попытались распространить вредоносные документы, которые устанавливали вредоносное ПО на компьютеры, которые загружали эти файлы.
Февраль 2021 г. . Хакеры, связанные с правительством Вьетнама, провели почти трехлетнюю кампанию кибершпионажа против правозащитников в стране, используя шпионское ПО для проникновения в системы отдельных лиц, слежки за их деятельностью и кражи данных.
Февраль 2021 г. . Украинские официальные лица сообщили, что многодневная распределенная атака отказа в обслуживании на веб-сайт Службы безопасности Украины была частью российской гибридной войны в стране.
Февраль 2021 г. . Министерство юстиции США предъявило трем северокорейским хакерам обвинение в сговоре с целью кражи и вымогательства более 1,3 миллиарда долларов наличными и криптовалютами.
Февраль 2021 г. . Иранские хакеры взяли под контроль сервер в Амстердаме и использовали его в качестве центра управления и контроля для атак на политических оппонентов в Нидерландах, Германии, Швеции и Индии.
Февраль 2021 года. Северокорейские хакеры попытались взломать компьютерные системы фармацевтической компании Pfizer, чтобы получить информацию о вакцинах и методах лечения COVID-19.
Февраль 2021 г. . Предполагаемые иранские хакеры нацелены на правительственные учреждения в ОАЭ в рамках кампании кибершпионажа, связанной с нормализацией отношений с Израилем.
Февраль 2021 г. . Французское национальное агентство по кибербезопасности объявило, что четырехлетняя кампания против французских ИТ-провайдеров была результатом работы российской хакерской группы.
Февраль 2021 г. . Подозреваемые индийские хакеры атаковали более 150 человек в Пакистане, Казахстане и Индии, используя мобильные вредоносные программы, в том числе те, которые связаны с Комиссией по атомной энергии Пакистана, ВВС Пакистана и представителями избирательных комиссий в Кашмире.
Февраль 2021 г. . Десять членов киберпреступной банды были арестованы после кампании, в ходе которой они обманом заставили телекоммуникационные компании назначать номера телефонов знаменитостей новым устройствам и украли криптовалюту на сумму более 100 миллионов долларов.
Февраль 2021 года. Неизвестные хакеры попытались повысить уровень гидроксида натрия в системе водоснабжения Олдсмара, Флорида, в 100 раз, используя систему удаленного доступа.
Февраль 2021 г. Две иранские хакерские группы провели шпионские кампании против иранских диссидентов в шестнадцати странах Ближнего Востока, Европы, Южной Азии и Северной Америки.
Январь 2021 г. . Хакеры, связанные с Хезболлой, взламывали телекоммуникационные компании, интернет-провайдеров и хостинг-провайдеров в США, Великобритании, Египте, Израиле, Ливане, Иордании, Саудовской Аравии, ОАЭ и палестинских властях для сбора разведданных и кражи данных.
Январь 2021 г. . Правительственные хакеры Северной Кореи участвовали в сложной кампании социальной инженерии против исследователей кибербезопасности, которые использовали несколько фальшивых учетных записей в Twitter и фальшивый блог, чтобы направлять цели на зараженные сайты или побуждать их открывать зараженные вложения в электронных письмах с просьбой к цели сотрудничать в исследовательском проекте.
Январь 2021 года. Предполагаемые индийские хакеры, действующие с 2012 года, подверглись атакам на предприятия и правительства в Южной и Восточной Азии, с особым упором на военные и правительственные организации в Пакистане, Китае, Непале и Афганистане, а также на предприятия, занимающиеся оборонными технологиями, научными исследованиями. исследования, финансы, энергетика и горнодобывающая промышленность.
Январь 2021 года. Неизвестные хакеры взломали один из центров обработки данных центрального банка Новой Зеландии.
Январь 2021 года. Хакеры, связанные с правительством Китая, несут ответственность за атаки программ-вымогателей на пять основных игорных и азартных стран с требованием выкупа более 100 миллионов долларов.
Декабрь 2020 г. В канун Рождества хакеры атаковали Шотландское агентство по охране окружающей среды с помощью программы-вымогателя. Решив не платить выкуп, хакеры опубликовали украденные данные.
Декабрь 2020 г. Государственные хакеры Ирана использовали рождественскую тему для кампании целевого фишинга, нацеленной на аналитические центры, исследовательские организации, ученых, журналистов и активистов в Персидском заливе, ЕС и США
Декабрь 2020 . Китайские хакеры атаковали финский парламент, взломав учетные записи электронной почты членов парламента и других сотрудников
Декабрь 2020 . Сотрудники Африканского союза обнаружили, что китайские хакеры перекачивали записи с камер наблюдения, установленных в штаб-квартире AU
.Декабрь 2020 .Одна саудовская хакерская группа, Одна хакерская группа из ОАЭ и две неизвестные хакерские группы, спонсируемые правительством, использовали шпионское ПО, приобретенное у израильского поставщика NSO Group, для взлома 36 телефонов, принадлежащих сотрудникам Аль-Джазиры.
Декабрь 2020 . Facebook обнаружил, что две группы россиян и одна группа лиц, связанных с французскими вооруженными силами, использовали поддельные учетные записи Facebook для проведения противоборствующих политических информационных операций в Африке.
Декабрь 2020 .Данные более 40 израильских компаний были украдены после того, как иранские хакеры взломали разработчика программного обеспечения для управления логистикой и использовали их доступ для кражи данных от клиентов компании
Декабрь 2020 . Неизвестные хакеры, спонсируемые государством, воспользовались территориальными спорами между Китаем, Индией, Непалом и Пакистаном, чтобы атаковать правительственные и военные организации по всей Южной Азии, включая непальскую армию и министерства обороны и иностранных дел, министерство обороны Шри-Ланки и Совет национальной безопасности Афганистана и Президентский дворец.
Декабрь 2020 . Facebook объявил, что его пользователи стали мишенью для двух хакерских кампаний, одна из которых исходила от спонсируемых государством вьетнамских хакеров, направленных на распространение вредоносного ПО, а другая — от двух некоммерческих групп в Бангладеш, сосредоточенных на взломе учетных записей и координации отчетности учетных записей и страниц для удаление
Декабрь 2020 . Подозреваемые китайские хакеры атаковали государственные учреждения и Национальный центр данных Монголии в рамках фишинговой кампании
Декабрь 2020 . Хакеры получили доступ к данным, связанным с вакциной COVID-19, разрабатываемой Pfizer во время атаки на Европейское агентство по лекарственным средствам.
Декабрь 2020 . Было обнаружено, что более 200 организаций по всему миру, включая несколько правительственных агентств США, были взломаны российскими хакерами, которые взломали поставщика программного обеспечения SolarWinds и использовали их доступ для мониторинга внутренних операций и кражи данных.
Декабрь 2020 . Преступная группа напала на израильскую страховую компанию Shirbit с помощью программы-вымогателя, потребовав почти 1 миллион долларов в биткойнах.После предъявления требований хакеры опубликовали конфиденциальную личную информацию и пригрозили раскрыть больше, если не получат оплату.
Декабрь 2020 . CISA и ФБР объявили, что американские аналитические центры, занимающиеся вопросами национальной безопасности и международных отношений, стали мишенью спонсируемых государством хакерских групп
.Декабрь 2020 . Предполагаемые спонсируемые государством хакеры из неизвестной страны провели целевую фишинговую кампанию против организаций в шести странах, участвующих в создании специальной среды с контролируемой температурой для поддержки цепочки поставок COVID-19.
Ноябрь 2020 . Мексиканский объект, принадлежащий Foxconn, подвергся атаке программы-вымогателя, в результате которой, по утверждениям хакеров, было зашифровано 1200 серверов, удалено 20–30 ТБ резервных копий и украдено 100 ГБ зашифрованных файлов.
Ноябрь 2020 . Северокорейские хакеры атаковали AstraZeneca, разработчика вакцины против COVID-19, выдавая себя за рекрутеров и рассылая сотрудникам компании поддельные предложения о работе, которые включали вредоносное ПО
Ноябрь 2020 .Китайские хакеры атаковали японские организации в различных отраслях промышленности, расположенных во многих регионах мира, включая Северную Америку, Европу, Азию и Ближний Восток.
Ноябрь 2020 . Подозреваемые китайские правительственные хакеры с 2018 по 2020 годы провели кампанию кибершпионажа, нацеленную на правительственные организации в Юго-Восточной Азии
Ноябрь 2020 . Северокорейская хакерская группа участвовала в атаках цепочки поставок программного обеспечения против южнокорейских интернет-пользователей, взломав законное южнокорейское программное обеспечение безопасности
Ноябрь 2020 .Одна российская и две северокорейские хакерские группы атаковали семь компаний, занимающихся исследованием вакцины против COVID-19
Ноябрь 2020 . Группа наемных хакеров начала атаки на группу целей в Южной Азии, в частности, в Индии, Бангладеш и Сингапуре. Эти атаки включали использование настраиваемого бэкдора и кражу учетных данных
.Ноябрь 2020 . Группа вьетнамских хакеров создала и поддерживала ряд поддельных веб-сайтов, посвященных новостям и активности в Юго-Восточной Азии, которые использовались для профилирования пользователей, перенаправления на фишинговые страницы и распространения вредоносного ПО
Ноябрь 2020 .Киберкомандование США и АНБ провели наступательные кибероперации против Ирана, чтобы предотвратить вмешательство в предстоящие выборы в США.
Ноябрь 2020 . ХАМАС использовал секретную штаб-квартиру в Турции для проведения кибератак и контрразведывательных операций
Октябрь 2020 . Правительство США объявляет, что иранские хакеры атаковали веб-сайты государственных выборов, чтобы загрузить информацию о регистрации избирателей и провести кампанию запугивания избирателей
Октябрь 2020 .Представитель министерства иностранных дел Китая ответил на обвинения в том, что китайские хакеры, спонсируемые государством, нацелены на оборонно-промышленную базу США, заявив, что Соединенные Штаты являются «хакерской империей», сославшись на утечки 2013 года о программе АНБ «Призма».
Октябрь 2020 г. Национальный координатор Индии по кибербезопасности объявил, что в 2019 году киберпреступность в Индии обошлась почти в 17 миллиардов долларов.
Октябрь 2020 . Российская кибершпионажная группа взломала неустановленную европейскую правительственную организацию
Октябрь 2020 .Иранские хакеры атаковали участников Мюнхенской конференции по безопасности, чтобы собрать информацию о внешней политике у скомпрометированных лиц
Октябрь 2020 . Греческие хакеры взломали сайт парламента Турции и 150 сайтов правительства Азербайджана в поддержку Армении.
Октябрь 2020 . ФБР, CISA и киберкомандование США объявили, что хакерская группа из Северной Кореи проводит кампанию кибершпионажа против отдельных экспертов, аналитических центров и государственных структур в Южной Корее, Японии и США с целью сбора разведданных о национальном вопросы безопасности, связанные с Корейским полуостровом, санкциями и ядерной политикой
Октябрь 2020 .ФБР и CISA объявили, что российская хакерская группа взломала государственные и местные правительственные сети США, а также авиационные сети и захватила данные
.Октябрь 2020 . Группа северокорейских хакеров осуществила атаки на аэрокосмические и оборонные компании в России.
Октябрь 2020 . Иранская хакерская группа провела фишинговую кампанию против университетов Австралии, Канады, Великобритании, США, Нидерландов, Сингапура, Дании и Швеции.
Октябрь 2020 г. Предполагаемые иранские хакеры напали на правительственные учреждения и операторов связи в Ираке, Кувейте, Турции и ОАЭ в рамках кампании кибершпионажа
Октябрь 2020 . АНБ предупредило, что хакеры китайского правительства нацелены на оборонно-промышленную базу США в рамках широкомасштабной шпионской кампании
.Октябрь 2020 . Национальный центр кибербезопасности Великобритании обнаружил доказательства того, что хакеры российской военной разведки планировали разрушительную кибератаку на отложенные позже Олимпийские игры в Токио в 2020 году.
Октябрь 2020 . США предъявили обвинение шести российским офицерам ГРУ в их причастности к хакерским инцидентам, включая атаки 2015 и 2016 годов на критически важную инфраструктуру Украины, вспышку вымогателя NotPetya в 2017 году, вмешательство в выборы во Франции в 2017 году и другие.
Октябрь 2020 г. Иран объявил, что морская и портовая организация страны и еще одно неуказанное государственное учреждение подверглись кибератаке
Октябрь 2020 .Microsoft и киберкомандование США независимо друг от друга предприняли операции по уничтожению российского ботнета накануне выборов в США.
Октябрь 2020 . Министерство внутренней безопасности США обнаружило, что хакеры нацелились на Бюро переписи населения США в попытке собрать массив данных, изменить регистрационную информацию, взломать инфраструктуру переписи или провести DoS-атаки
Октябрь 2020 . Представители правительства США сообщили, что подозреваемые китайские хакеры стояли за серией атак на организации в России, Индии, Украине, Казахстане, Кыргызстане и Малайзии
Октябрь 2020 .Китайская группа нацелена на дипломатические учреждения и неправительственные организации в Африке, Азии и Европе, используя передовое вредоносное ПО, адаптированное на основе кода, выпущенного итальянским поставщиком хакерских инструментов HackingTeam
.Октябрь 2020 . Иранские хакеры использовали серьезную уязвимость Windows для нацеливания на ближневосточных поставщиков сетевых технологий и организации, участвующие в работе с беженцами
Октябрь 2020 г. Группа кибернаемников напала на правительственных чиновников и частные организации в Южной Азии и на Ближнем Востоке, используя комбинацию методов, включая эксплойты нулевого дня
Октябрь 2020 .В разгар эскалации конфликта между Арменией и Азербайджаном из-за территории Нагорного Карабаха неизвестная спецслужба провела кампанию кибершпионажа против правительственных учреждений Азербайджана
Октябрь 2020 . Было установлено, что ранее неизвестная группа кибершпионажа крала документы у государственных учреждений и корпораций в Восточной Европе и на Балканах с 2011 года.
Октябрь 2020 . Судоходное агентство ООН Международная морская организация (IMO) сообщило, что его веб-сайт и сети были нарушены изощренной кибератакой
Октябрь 2020 .Северокорейские хакеры атаковали министерство здравоохранения и фармацевтическую компанию, участвующую в исследовании COVID-19 и ответных мерах
Сентябрь 2020 г. . Американская медицинская компания Universal Health Systems выдержала атаку с помощью программы-вымогателя, в результате которой пострадавшие больницы вернулись к ручному резервному копированию, отвлекли машины скорой помощи и перенесли операции
Сентябрь 2020 г. Французская судоходная компания CMA CGM SA увидела, что два ее дочерних предприятия в Азии подверглись атаке с использованием программ-вымогателей, которая вызвала серьезные нарушения в работе ИТ-сетей, но не повлияла на перемещение грузов
Сентябрь 2020 г. .Российские хакеры атаковали правительственные учреждения в странах-членах НАТО и странах, которые сотрудничают с НАТО. Кампания использует учебные материалы НАТО в качестве приманки для схемы фишинга, которая заражает целевые компьютеры вредоносным ПО, которое создает постоянный бэкдор.
Сентябрь 2020 г. . Китайские хакеры украли информацию, связанную с разработкой вакцины против Covid-19, из испанских исследовательских центров.
Сентябрь 2020 г. . Иранские хакеры нацелены на иранские меньшинства, антиправительственные организации и членов сопротивления, используя комбинацию вредоносных программ, включая бэкдор Android, предназначенный для кражи кодов двухфакторной аутентификации из текстовых сообщений.
Сентябрь 2020 г. . Соединенные Штаты предъявили обвинение трем хакерам, действующим под руководством иранского Корпуса стражей исламской революции, в нападениях на работников компаний, занимающихся аэрокосмическими и спутниковыми технологиями, а также международных правительственных организаций.
Сентябрь 2020 г. . Атака программы-вымогателя на немецкую больницу могла привести к смерти пациента, которого пришлось перенаправить в более удаленную больницу для лечения.
Сентябрь 2020 г. .Министерство юстиции США предъявило обвинение пяти китайским хакерам, связанным с китайскими спецслужбами, в атаках на более чем 100 организаций в правительстве, ИТ, социальных сетях, научных кругах и других организациях
Сентябрь 2020 г. . ФБР и CISA заявили, что иранские хакеры использовали общеизвестные уязвимости для атак на американские организации в сфере информационных технологий, государственного управления, здравоохранения, финансов и СМИ.
Сентябрь 2020 г. . CISA сообщила, что хакеры, связанные с Министерством государственной безопасности Китая, сканировали U.S. государственные и частные сети более года в поисках сетевых устройств, которые могут быть взломаны с помощью эксплойтов для недавно обнаруженных уязвимостей
Сентябрь 2020 г. . Одна правительственная организация на Ближнем Востоке и одна в Северной Африке были атакованы возможными вредоносными программами-очистителями, которые использовали программу-вымогатель как услугу, которая недавно стала популярной на рынках киберпреступности
Сентябрь 2020 г. Официальные лица Грузии объявляют, что файлы исследования COVID-19 в биомедицинском исследовательском центре в Тбилиси стали объектом кибершпионажа
Сентябрь 2020 г. Норвегия объявила о защите от двух наборов кибератак, направленных на электронные письма нескольких членов и сотрудников норвежского парламента, а также государственных служащих в регионе Хедмарк. Позже он обвинил в нападении Россию.
Август 2020 . Северокорейская хакерская группа совершила целенаправленную фишинговую кампанию против 28 должностных лиц ООН, в том числе по меньшей мере 11 человек, представляющих шесть членов Совета Безопасности ООН.
Август 2020 .Было установлено, что наемные хакеры, подозреваемые в действиях от имени иранского правительства, работали над получением доступа к конфиденциальной информации, хранящейся у североамериканских и израильских организаций в различных секторах, включая технологии, правительство, оборону и здравоохранение.
Август 2020 . Фондовая биржа Новой Зеландии столкнулась с перебоями в течение нескольких дней после того, как неизвестные участники предприняли серьезную распределенную атаку отказа в обслуживании
Август 2020 .Официальные лица США объявили, что хакеры правительства Северной Кореи проводят кампанию, направленную на кражу денег из банкоматов по всему миру.
Август 2020 . Подозреваемые пакистанские хакеры использовали специальное вредоносное ПО для кражи файлов у жертв в двадцати семи странах, в первую очередь в Индии и Афганистане.
Август 2020 . Украинские официальные лица объявили, что российская хакерская группа начала проводить фишинговую кампанию в рамках подготовки к операции в день независимости Украины
.Август 2020 .Тайвань обвинил китайских хакеров в проникновении в информационные системы по меньшей мере десяти государственных учреждений и 6000 учетных записей электронной почты с целью получения доступа к личным данным граждан и правительственной информации.
Август 2020 г. Китайская группа кибершпионажа нацелена на военные и финансовые организации в Восточной Европе
Август 2020 . Министерство обороны Израиля объявило, что оно успешно защитилось от кибератаки на израильских оборонных предприятий, инициированной предполагаемой северокорейской хакерской группой
.Август 2020 . Было обнаружено, что иранская хакерская группа нацелена на крупные американские компании и правительственные учреждения, используя недавно обнаруженные уязвимости в высокопроизводительном сетевом оборудовании для создания бэкдоров для использования другими группами
Август 2020 . Пакистан объявил, что хакеры, связанные с индийскими спецслужбами, атаковали мобильные телефоны пакистанских правительственных чиновников и военнослужащих
Август 2020 . Семь производителей полупроводников на Тайване стали жертвами двухлетней шпионской кампании со стороны подозреваемых китайских государственных хакеров, нацеленных на исходный код фирм, комплекты для разработки программного обеспечения и конструкции микросхем.
Август 2020 . Российские хакеры взломали новостные сайты и заменили легитимные статьи фальсифицированными сообщениями, в которых использовались сфабрикованные цитаты военных и политических деятелей для дискредитации НАТО среди польской, литовской и латвийской аудитории.
Июль 2020 г. . Израиль объявил о двух кибератаках, направленных против водной инфраструктуры Израиля, но ни одна из них не увенчалась успехом
Июль 2020 г. . Китайские хакеры, спонсируемые государством, взломали сети Ватикана, чтобы провести шпионаж в преддверии переговоров о контроле над назначением епископов и статусом церквей в Китае.
Июль 2020 г. . Канада, Великобритания и США объявили, что хакеры, связанные с российской разведкой, пытались украсть информацию, связанную с разработкой вакцины против COVID-19
Июль 2020 г. . Великобритания объявила, что, по ее мнению, Россия пыталась вмешаться в всеобщие выборы 2019 года путем кражи и утечки документов, связанных с Соглашением о свободной торговле между Великобританией и США
.Июль 2020 г. . По сообщениям СМИ, в 2018 году президентское заключение разрешило ЦРУ проводить кибероперации против Ирана, Северной Кореи, России и Китая.Операции включали срыв и публичную утечку информации.
Июль 2020 г. . Президент Трамп подтвердил, что он прямо санкционировал операцию Киберкомандования США в 2019 году, отключив Российское агентство интернет-исследований.
Как мы защищаем пользователей от атак нулевого дня
Почему так много нулевых дней?
Не существует однозначной взаимосвязи между количеством нулевых дней, используемых в дикой природе, и количеством нулевых дней, обнаруженных и раскрытых как «в дикой природе».Злоумышленники, стоящие за эксплойтами нулевого дня, обычно хотят, чтобы их нулевые дни оставались скрытыми и неизвестными, потому что именно так они наиболее полезны.
Исходя из этого, существует несколько факторов, которые могут способствовать увеличению количества нулевых дней, которые раскрываются как «в дикой природе»:
Увеличение числа обнаружений и раскрытия информации
В этом году Apple начала аннотировать уязвимости в своих бюллетенях по безопасности, чтобы включить примечания, если есть основания полагать, что уязвимость может быть использована в «дикой природе», и Google добавил эти аннотации в свои бюллетени для Android.Когда поставщики не включают эти аннотации, единственный способ узнать об эксплуатации в естественных условиях общественность — это опубликовать информацию самостоятельно.
Помимо того, что мы начали раскрывать, когда считается, что нулевые дни используются в естественных условиях, не будет ничего удивительного, если будет больше усилий по обнаружению нулевых дней и, как следствие, успехов. Также возможно, что все больше людей уделяют внимание обнаружению нулевых дней в дикой природе и / или сообщают о нулевых днях, которые они нашли в дикой природе.
Повышенное использование
Существует также вероятность того, что злоумышленники используют больше уязвимостей нулевого дня. Это возможно по нескольким причинам:
- Рост и развитие технологий и функций безопасности означает, что для одной и той же возможности требуется больше уязвимостей нулевого дня для функциональных цепочек. Например, поскольку песочница приложения Android была дополнительно заблокирована за счет ограничения того, какие системные вызовы может вызывать приложение, для выхода из песочницы необходим дополнительный нулевой день.
- Рост мобильных платформ привел к увеличению количества продуктов, для которых участники хотят иметь возможности.
- Доступ к нулевым дням продают больше коммерческих поставщиков, чем в начале 2010-х годов.
- Развитие позиций безопасности увеличивает потребность злоумышленников в использовании уязвимостей нулевого дня, а не других менее сложных средств, таких как убеждение людей установить вредоносное ПО. Из-за достижений в области безопасности этим участникам теперь все чаще приходится использовать эксплойты нулевого дня для достижения своих целей.
Заключение
Мы полагаем, что за последнее десятилетие увеличилось количество злоумышленников, использующих эксплойты нулевого дня. Злоумышленникам, которым требуется больше эксплойтов нулевого дня для поддержания своих возможностей, это хорошо, и это отражает увеличение затрат злоумышленников за счет мер безопасности, закрывающих известные уязвимости. Однако растущий спрос на эти возможности и экосистему, обеспечивающую их, представляет собой большую проблему. Возможности нулевого дня раньше были инструментами только избранных национальных государств, которые обладали техническим опытом, чтобы находить уязвимости нулевого дня, превращать их в эксплойты, а затем стратегически вводить их в действие.В середине-конце 2010-х годов на рынок вышло больше частных компаний, продающих эти возможности нулевого дня. Группам больше не нужны технические знания, теперь им просто нужны ресурсы. Три из четырех нулевых дней, обнаруженных TAG в 2021 году, попадают в эту категорию: разрабатываются коммерческими поставщиками, продаются и используются поддерживаемыми государством субъектами.
Между тем, улучшения в обнаружении и растущая культура раскрытия информации, вероятно, будут способствовать значительному увеличению числа нулевых дней, обнаруженному в 2021 году по сравнению с 2020 годом, но отражают более позитивные тенденции.Те из нас, кто работает над защитой пользователей от атак нулевого дня, давно подозревали, что в целом отрасль обнаруживает лишь небольшой процент фактически используемых нулевых дней. Увеличение количества обнаруживаемых нами эксплойтов нулевого дня — это хорошо — это позволяет нам исправить эти уязвимости и защитить пользователей, а также дает нам более полную картину эксплуатации, которая на самом деле происходит, чтобы мы могли принимать более обоснованные решения о том, как предотвратить и борись с этим.
Было бы упущением, если бы мы не признали быстрое реагирование и исправление этих уязвимостей командами Apple, Google и Microsoft.
Целевые атаки — Определение
Целенаправленная атака относится к типу угрозы, при которой субъекты угрозы активно преследуют и компрометируют инфраструктуру целевой организации, сохраняя при этом анонимность. Эти злоумышленники обладают определенным уровнем знаний и достаточными ресурсами для реализации своих схем в течение длительного периода. Они могут адаптировать, корректировать или улучшать свои атаки, чтобы противостоять защите своей жертвы. Предпосылки
В целевых атаках часто используются методы, аналогичные традиционным онлайн-угрозам, таким как вредоносные электронные письма, скомпрометированные или вредоносные сайты, эксплойты и вредоносное ПО.Целевые атаки во многом отличаются от традиционных сетевых угроз:
• Целевые атаки обычно проводятся в виде кампаний. APT-атаки часто проводятся в рамках кампаний — серии неудачных и успешных с течением времени попыток проникнуть все глубже и глубже в сеть цели — и, следовательно, не являются изолированными инцидентами.
• Обычно они нацелены на определенные отрасли, такие как предприятия, государственные учреждения или политические группы. Злоумышленники часто преследуют долгосрочные цели, мотивы которых включают, помимо прочего, политическую выгоду, денежную прибыль или кражу бизнес-данных.
Злоумышленники часто настраивают, изменяют и улучшают свои методы в зависимости от характера их целевого сектора и для обхода любых применяемых мер безопасности.
Фазы целевой атаки
• Сбор разведданных. Злоумышленники идентифицируют и собирают общедоступную информацию о своей цели, чтобы настроить свои атаки. Этот начальный этап направлен на получение стратегической информации не только об ИТ-среде намеченной цели, но и об ее организационной структуре.Собираемая информация может варьироваться от бизнес-приложений и программного обеспечения, которые использует предприятие, до ролей и взаимосвязей, существующих внутри него. На этом этапе также используются методы социальной инженерии, которые учитывают недавние события, проблемы или проблемы, связанные с работой, и другие области, представляющие интерес для намеченной цели.
• Пункт въезда . Злоумышленники могут использовать различные методы для проникновения в инфраструктуру цели. К распространенным методам относятся настраиваемая электронная почта с целевым фишингом, эксплойты нулевого дня или программные эксплойты, а также методы водопоя.Злоумышленники также используют платформы обмена мгновенными сообщениями и социальные сети, чтобы побудить цели щелкнуть ссылку или загрузить вредоносное ПО. В конце концов, устанавливается соединение с целью.
• Командно-управляющая связь (C&C). После нарушения безопасности злоумышленники постоянно связываются с вредоносным ПО для выполнения вредоносных программ или сбора информации в сети компании. Злоумышленники используют методы, чтобы скрыть эту коммуникацию и держать свои движения под радаром.
• Боковое перемещение . Попав внутрь сети, злоумышленники перемещаются по сети в разные стороны в поисках ключевой информации или заражении других ценных систем.
• Обнаружение активов / данных . Известные активы или данные определяются и изолируются для будущего кражи данных. У злоумышленников есть доступ к «территориям», которые содержат ценную информацию и важные активы. Затем эти данные идентифицируются и передаются с помощью таких инструментов, как трояны удаленного доступа (RAT) и настраиваемые и легитимные инструменты.Возможный метод, используемый на этом этапе, может заключаться в отправке обратно списков файлов в разных каталогах, чтобы злоумышленники могли определить, что является ценным.
• Эксфильтрация данных . Это основная цель целевых атак. Цель атаки — собрать ключевую информацию и передать ее в место, контролируемое злоумышленниками. Передача таких данных может осуществляться быстро или постепенно. Целенаправленные атаки стремятся остаться незамеченными в сети, чтобы получить доступ к сокровищам компании или ценным данным.Эти ценные данные включают интеллектуальную собственность, коммерческую тайну и информацию о клиентах. В дополнении
злоумышленники могут также искать другие конфиденциальные данные, такие как сверхсекретные документы от правительственных или военных учреждений.
Почему следует беспокоиться о бизнесе?
Компания Trend Micro спонсировала исследование с Quocirca и выяснила, что наиболее частым последствием целевых атак является потеря финансовых данных. В исследовании говорится, что растущее стремление киберпреступников к получению большей прибыли и рост хактивизма привели к более целенаправленным атакам. Таким образом, неудивительно, что финансовые данные — это актив, на который нацелились киберпреступники.Наряду с потерей регулируемых личных данных и интеллектуальной собственности, потеря данных дорого обходится предприятиям.
Как Trend Micro может защитить вашу организацию?
Выход за рамки защиты и использование возможностей упреждающего обнаружения — это окончательный шаг в борьбе с целевыми атаками. Раннее обнаружение имеет решающее значение для предотвращения целевых атак с целью получения конфиденциальных данных компании. Организации и крупные предприятия нуждаются в платформе расширенной защиты от угроз, такой как Trend Micro ™ Deep Discovery, которая может снизить риски, связанные с целевыми атаками, с помощью различных технологий безопасности и глобального анализа угроз.В основе Deep Discovery лежит Custom Defense, которая обеспечивает локальную и глобальную разведку в реальном времени. Это может помочь ИТ-администраторам понять природу атаки, с которой они имеют дело. Он также поддерживает инициативы по анализу угроз с помощью сбора и анализа событий безопасности в масштабах всей сети, что позволяет ИТ-администраторам выполнять планы исправления и сдерживания.
Расследование америтракса или сибирской язвы — ФБР
Вскоре после террористических атак 11 сентября в U.S. mail. Пятеро американцев были убиты и 17 заболели в результате того, что стало самой ужасной биологической атакой в истории США. Последовавшее за этим расследование ФБР и его партнеров под кодовым названием «Америтракс» было одним из крупнейших и самых сложных в истории правоохранительных органов.
В августе 2008 года Министерство юстиции и ФБР объявили о прорыве в деле и опубликовали документы и информацию, свидетельствующие о том, что обвинения собирались предъявить доктору Брюсу Айвинсу, который покончил с собой до того, как эти обвинения были предъявлены.19 февраля 2010 года Министерство юстиции, ФБР и Почтовая инспекционная служба США официально завершили расследование атак сибирской язвы в 2001 году и опубликовали Резюме расследования.
Целевая группа Amerithrax, которая состояла примерно из 25-30 штатных следователей из ФБР, Службы почтовой инспекции США и других правоохранительных органов, а также федеральных прокуроров из округа Колумбия и отдела по борьбе с терроризмом Министерства юстиции — по этому делу следователи потратили сотни тысяч часов работы.Их усилия включали более 10 000 допросов свидетелей на шести разных континентах, проведение 80 обысков и обнаружение более 6 000 единиц потенциальных доказательств в ходе расследования. Дело включало выдачу более 5750 повесток в суд и сбор 5730 проб окружающей среды с 60 участков. Вдобавок были разработаны новые научные методы, которые в конечном итоге привели к прорыву в деле, — методы, которые могут иметь далеко идущие последствия для будущих исследований.
Для получения дополнительной информации о расследовании Amerithrax:
- Ответ ФБР на отчет Независимой экспертной группы по поведенческому анализу о рассылках сибирской язвы — 23 марта 2011 г.
- Ответ ФБР и Министерства юстиции на обзор НАН Украины научных подходов, использованных при расследовании писем о сибирской язве 2001 г. — 15 февраля 2011 г.
- Объявление Министерства юстиции США об официальном закрытии дела — 19 февраля 2010 г.
- Документы FOIA — 19 февраля 2010 г.
- Научный доклад о расследовании — 18 августа 2008 г.
- Выпуск аффидевитов — 6 августа 2008 г.
- Завершение главы по сибирской язве — 6 августа 2008 г.
- Информационный бюллетень об Amerithrax — сентябрь 2006 г.
- Письмо конгрессмену Раш-Холту (pdf) — 28 сентября 2006 г.
- Письмо сенатору Патрику Лихи — ноябрь 2001 г .:
- Лингвистический / поведенческий анализ писем сибирской язвы — 9 ноября 2001 г.
- Заявление директора Мюллера — 16 октября 2001 г.
Фото галереи:
Киберпреступность — ФБР
Борьба с нарастающей киберугрозой
Наши противники стремятся использовать бреши в наших сетях разведки и информационной безопасности.ФБР стремится работать с нашими федеральными коллегами, нашими иностранными партнерами и частным сектором, чтобы восполнить эти пробелы.
Эти партнерские отношения позволяют нам защищать сети, приписывать вредоносную активность, наказывать за плохое поведение и вести борьбу с нашими противниками за рубежом. ФБР поддерживает такой командный подход через уникальные центры, где правительство, промышленность и научные круги формируют долгосрочные доверительные отношения для объединения усилий по борьбе с киберугрозами.
В правительстве этим центром является Национальная объединенная рабочая группа по кибер-расследованиям (NCIJTF).ФБР возглавляет эту рабочую группу, состоящую из более чем 30 совмещенных агентств разведывательного сообщества и правоохранительных органов. NCIJTF организован вокруг миссионерских центров, основанных на ключевых областях киберугроз и возглавляемых руководителями высшего звена партнерских агентств. Благодаря этим центрам миссий операции и разведка объединяются для максимального воздействия на противников США.
Только вместе мы сможем добиться безопасности и уверенности в мире цифровых технологий.
Как мы работаем
Независимо от того, разрабатывая инновационные методы расследования, используя передовые аналитические инструменты или налаживая новые партнерские отношения в наших сообществах, ФБР продолжает адаптироваться к вызовам, создаваемым развивающейся киберугрозой.
- ФБР имеет специально обученные кибер-группы в каждом из 56 наших полевых отделений, которые работают рука об руку с партнерами по межведомственной целевой группе.
- Группа быстрого реагирования Cyber Action Team может развернуться по всей стране в течение нескольких часов, чтобы отреагировать на серьезные инциденты.
- Вместе с кибер-помощниками юридических атташе в посольствах по всему миру ФБР тесно сотрудничает с нашими международными партнерами, чтобы добиться справедливости для жертв злонамеренной киберактивности.
- Центр жалоб на Интернет-преступления (IC3) собирает сообщения об Интернет-преступлениях от общественности.Используя такие жалобы, группа по восстановлению активов IC3 помогла заморозить сотни тысяч долларов для жертв киберпреступлений.
- CyWatch — это круглосуточный операционный центр и дежурный пост ФБР, обеспечивающий круглосуточную поддержку для отслеживания инцидентов и связи с полевыми офисами по всей стране.