Анализ основных типов угроз информационной безопасности Внутренние угрозы (инсайдеры)

Проведенные исследования указывают на то, что эффективная подготовка персонала, проведение тренингов и обучений по ИБ, вдвое сокращает количество утечек со стороны инсайдеров.

Это достигается за счет понимания сотрудниками важности их собственной роли в сохранении информационной безопасности компании.

Повышение уровня сознательности служащих оказывает существенное влияние на предотвращение потери данных.

Такие стандарты, как ISO 27001, могут помочь организовать программы по информационной безопасности.

В России утверждён аналогичный ГОСТ Р ИСО/МЭК 27001-2006. Также существуют ГОСТ Р ИСО/МЭК 17799-2006 и СТО БР ИББС–1.0-2014.

Однако стремление соблюсти формальности не должно быть превалирующим.

В первую очередь следует уделить внимание защите от основных векторов атак, и уж затем пытаться сделать так, чтобы эти попытки соответствовали существующим стандартам.

Анализ основных типов угроз информационной безопасности Социальная инженерия

Социальная инженерия - как наука манипуляции человеческим сознанием, была актуальна со времен “фрикинга” телефонных сетей и остается популярной в связи с плотной интеграцией социальных сетей, электронной почты, различных мессенджеров и других видов онлайн-коммуникаций в современной жизни.

Известными специалистами-практиками в этой науке стали, например, Кевин Митник и Фрэнк Абаньяле, которые на сегодняшний день являются ведущими консультантами по безопасности. Они живая иллюстрация того, что преступники могут превращаться в уважаемых экспертов. К примеру, тот же Фрэнк Абаньяле был одним из самых знаменитых и виртуозных мошенников: он умел создавать множество личностей, подделывать чеки и обманывать людей, вытягивая из них конфиденциальную информацию, необходимую для работы мошеннических схем. Следует помнить, что для получения от вас нужной информации социоинженер может использовать различные мошеннические схемы, не ограничивающиеся приемами, связанными с технологиями или компьютерами. Классическим приемом, например, является выманивание пароля в телефонном звонке. Кажется, что никто в здравом уме не сообщит свой пароль постороннему, но звонок «с работы» в 9 утра в воскресенье, требующий приехать для какой-то мелкой технической

операции над их компьютером, несколько меняет дело. Когда «их администратор»

Анализ основных типов угроз информационной безопасности Социальная инженерия

Социальная инженерия - как наука манипуляции человеческим сознанием, была актуальна со времен “фрикинга” телефонных сетей и остается популярной в связи с плотной интеграцией социальных сетей, электронной почты, различных мессенджеров и других видов онлайн-коммуникаций в современной жизни.

Известными специалистами-практиками в этой науке стали, например, Кевин Митник и Фрэнк Абаньяле, которые на сегодняшний день являются ведущими консультантами по безопасности.

Они живая иллюстрация того, что преступники могут превращаться в уважаемых экспертов.

К примеру, тот же Фрэнк Абаньяле был одним из самых знаменитых и виртуозных мошенников: он умел создавать множество личностей, подделывать чеки и обманывать людей, вытягивая из них конфиденциальную информацию, необходимую для работы мошеннических схем.

Анализ основных типов угроз информационной безопасности Социальная инженерия

Следует помнить, что для получения от вас нужной информации социоинженер может использовать различные мошеннические схемы, не ограничивающиеся приемами, связанными с технологиями или компьютерами.

Классическим приемом, например, является выманивание пароля в телефонном звонке.

Кажется, что никто в здравом уме не сообщит свой пароль постороннему, но звонок «с работы» в 9 утра в воскресенье, требующий приехать для какой-то мелкой технической операции над их компьютером, несколько меняет дело.

Когда «их администратор» предложит просто сказать ему пароль, чтобы он все сделал за них, человек не только сообщит пароль, но и поблагодарит его за заботу!

Анализ основных типов угроз информационной безопасности Социальная инженерия

Принципы, используемые для мошеннических схем в Интернете, похожи на те, которые используются в реальной жизни, так, например, одно фишинговое сообщение может быть отправлено миллионам получателей в течение самого короткого времени.

То есть в таких условиях данный тип атак может превратиться в беспроигрышную лотерею: даже если только небольшая часть от общего числа потенциальных жертв попадется на удочку, это все равно означает огромную прибыль для организации или человека, стоящего за атакой.

Анализ основных типов угроз информационной безопасности Социальная инженерия

Сегодня одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing — «ловля паролей»).

Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации.

Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая вредоносное сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают желаемое при полном неведении и потворстве со стороны жертвы.

Множество примеров взлома основаны на техниках социнженерии, которые, в свою очередь, помогают злоумышленникам доставить вредоносное ПО жертвам.

Среди наиболее популярных — фальшивые обновления Flash Player и других популярных программ, вшитые в документ Word исполняемые файлы и многое другое.

Анализ основных типов угроз информационной безопасности Социальная инженерия

В свете вышесказанного важно помнить, что любая публично доступная информация, появляющаяся в соцсетях («ВКонтакте», Instagram, Facebook, Twitter, Google Plus и так далее), может также помочь преступникам сложить два и два и понять, где находится жертва, либо узнать некоторые персональные сведения.

Направленная целевая фишинг-атака — это не столь частое явление, но, если человек готов предоставлять ценную информацию, даже не задумываясь о предполагаемых последствиях, он только облегчает мошенникам задачу.

Даже виш-листы на Amazon могут стать хорошим подспорьем для взлома аккаунтов, при использовании тщательно отобранных трюков из арсенала социоинженеров.

Анализ основных типов угроз информационной безопасности Статистика сетевых атак

По результатам опроса «Информационная безопасность бизнеса», проведённого Лабораторией Касперского, главными в сфере угроз информационной безопасности и противодействия им стали следующие тенденции:

•41% компаний отметили как главный приоритет защиту конфиденциальных данных от целевых атак;

•91% компаний недооценивают количество существующего вредоносного ПО;

•В течение года 98% предприятий столкнулись с инцидентами кибербезопасности, источники которых находились за пределами компании, что на 3% больше, чем годом ранее. Четверть компаний потеряли данные в результате внешних кибератак;

•Ущерб от одного инцидента информационной безопасности в среднем составляет около 20 млн. рублей для крупной компании и свыше 780 тыс. рублей для компании сегмента СМБ;

•На ликвидацию последствий инцидента и профилактику крупные компании дополнительно тратят около 2,1 млн. руб., а небольшие – около 300 тыс. рублей;

•Чаще всего в результате инцидентов кибербезопасности компании теряют операционные данные о внутренней деятельности, персональные данные клиентов и финансовые сведения.

Анализ основных типов угроз информационной безопасности Статистика сетевых атак

Инциденты IT-безопасности: внешние угрозы