Журнал "Information Security/ Информационная безопасность" #1, 2020

Для начала стоит отметить, что исполь- зование инструментов, имеющихся в ОС на момент установки, бывает полезно для повышения безопасности в целом. Можно грамотно реализовать настройку параметров учетных записей пользова- телей, применить информацию из системных журналов для анализа собы- тий в системе, настроить имеющийся в ОС межсетевой экран и т.д. Анализ опасностей Прежде чем приступить к защите, нужно оценить вероятные опасности со стороны злоумышленников, понять, из каких этапов может состоять потенци- альная угроза, а затем посмотреть, что необходимо выполнить на каждом из них, чтобы атака не удалась. Для начала определимся с термино- логией. Атака – это действие, которое негативно влияет на какой-нибудь целе- вой компонент. Перед ее реализацией злоумышленник должен найти бреши в системе. Такие бреши называются уязви- мостями. Подобная уязвимость может появиться, например, из-за использова- ния личной электронной почты на рабо- чем месте. Обычно злоумышленников условно делят на внутренних, которые имеют непосредственный доступ к компонентам системы безопасности, и внешних. С уче- том такого деления различают виды киберугроз и соответствующие меры защиты от них. Этапы построения защиты На первом этапе необходимо опреде- лить схему реализации атаки. Лучше всего рассматривать киберугрозу в виде конкретного действия, например "атака отказа в обслуживании на веб-сервер" или "взлом веб-сервера". Вторым шагом является выбор страте- гии для противодействия каждому этапу кибератаки. Стратегий полезно выбирать несколько, так как, возможно, не все они будут в дальнейшем использованы. Третьим шагом должен стать выбор мер защиты, которые точно можно реа- лизовать (и контролировать) при помощи штатных средств ОС. На четвертом этапе производят тести- рование имеющихся механизмов и кор- рекцию схемы защиты на основе полу- ченной информации. Такой подход дает возможность: l эффективно распределить имеющиеся средства защиты информации; l выделить узкие места в системе без- опасности и использовать для их устра- нения дополнительные средства защиты, закупку которых обосновать теперь будет проще; l выделить те инструменты, использо- вание которых нужно обязательно конт- ролировать. На пятом этапе нужно понять, каким образом можно будет использовать имеющиеся в ОС механизмы для защиты от атаки и насколько оправдано их использование. За основу можно взять концепцию Cyber Kill Chain ¹ . Она описывает раз- личные фазы осуществления условной атаки, на каждой из которых злоумыш- ленником будут выполнены определен- ные действия. Для большей реалистич- ности можно использовать глобальную базу знаний ² , в которой собраны все известные тактики и техники, приме- няемые для практической реализации некоторых атак. Для каждого начального воздействия (англ. Initial Access) в этой схеме предусмотрен общий сценарий развития атаки. На последнем этапе можно выде- лить обобщенный сценарий условной атаки и рассмотреть штатные средства ОС. Последовательность действий при осуществлении атаки в упрощенном виде: 1. Сбор сведений об атакуемой системе. 2. Поиск уязвимости и подбор сред- ства для ее эксплуатации. Цель: найти уязвимость для входа в систему. С точки зрения злоумышленника, в ата- куемой системе должна присутствовать брешь, которая позволит реализовать атаку, при этом необязательно одна, довольно часто атака происходит с использованием нескольких уязви- мостей. 3. Доставка средства эксплуатации уязвимости. Задача: сделать так, чтобы была возможность выполнять заплани- 20 • УПРАВЛЕНИЕ ИБ с ограниченным бюджетом: как защититься от атак при помощи штатных средств ОС многих российских организаций, ведомственных и коммерческих, нет возможности закупить программные и аппаратные инструменты для защиты информации. Такая ситуация возникает по разным причинам, но это не повод игнорировать угрозы информационной безопасности. Почти во всех ОС имеются инструменты, которые можно использовать для защиты от киберугроз. Решить проблему можно за счет грамотного построения ИТ-инфраструктуры предприятия, что позволит снизить последствия от действий злоумышленников. Так как же организациям, которые располагают лишь ограниченным бюджетом, справиться с информационными угрозами? У Владимир Душкевич, преподаватель факультета информационной безопасности в GeekUniversity, онлайн-университете Mail.ru Group и образовательного портала GeekBrains. 1 https://en.wikipedia.org/wiki/Kill_chain 2 https://attack.mitre.org

RkJQdWJsaXNoZXIy Mzk4NzYw