Сначала рассмотрим основы и ключевые моменты, прежде чем подробно останавливаться на анализе угроз
Что такое угроза?
Угрозой может быть любое действие, которое будет использовать известные и неизвестные уязвимости системы или актива для нарушения мер безопасности и негативного изменения, стирания, нанесения вреда субъекту или интересующим конкретным объектам.
Информационная безопасность должна быть частью нашей повседневной жизни, поскольку мы все чаще наблюдаем такие угрозы, как атаки на основе программного обеспечения, кража интеллектуальной собственности, нарушение управления идентификационными данными и доступом, кража оборудования, связанного с конструкцией или прототипом чувствительного оборудования, или целое оборудование с личными данными. или утечка официальной информации, саботаж и использование всех этих деталей для создания незаконных методов вымогательства. По сути, эти беспроигрышные программные коды разрабатываются хакерами для эксплуатации уязвимостей общедоступных или коммерческих систем.
Типы угроз?
Векторы атак: используют вредоносные программные коды, такие как вирусы, черви, троянские кони и боты, с другими типами атак, такими как фишинг или целевой фишинг, распределенный отказ в обслуживании (DDoS), Man-in- середина (MitM), атака Drive-by, атака паролем, внедрение SQL, межсайтовый скриптинг (XSS), атака подслушивания, атака дня рождения и т. д. Пользователи считают, что вредоносные программы, вирусы, черви, боты - все одинаковы, но на самом деле они не единственное сходство заключается в том, что все вредоносные программы ведут себя по-разному, нанося разный вред конечным пользователям .
Векторы атак на основе вредоносного ПО: представляет собой сочетание двух слов, которые называются вредоносным и программным. Вредоносное ПО - это в основном вредоносное ПО, которое может использоваться как назойливый или директивный программный код, предназначенный для выполнения определенных вредоносных операций в определенном или большом количестве систем. Использование этих программных кодов и атака на системы или ресурсы может быть описана как атаки вредоносного ПО, в основном они сознательно или неосознанно устанавливаются в вашу систему без вашего согласия. Они присоединяются к законным кодам и распространяют их по системам и сетям; они могут скрываться в полезных приложениях или копироваться в Интернете.
Что такое анализ угроз?
Аналитика угроз - это коллективные данные об организации, детально проанализированные для понимания угроз, которые существуют, будут или в настоящее время нацелены на организацию. В частности, все собранные необработанные данные используются для подготовки, предотвращения и выявления киберугроз, наблюдая за уязвимыми ресурсами. Основное преимущество состоит в том, чтобы получить столько, сколько упреждающий сбор знаний действительно помогает понять угрозы кибербезопасности, которые могут повлиять на активы организации, сети и в целом для защиты личной и деловой информации.
Каковы источники информации об угрозах?
Ее можно собирать из различных источников, в основном относящихся к категории внутренних и внешних источников информации.
Внутренний анализ угроз. Это набор конфиденциальных данных, собранных в организациях, которые надежно хранятся, сегментируются и анализируются в их собственных сетях, включая журналы событий и приложений, журналы брандмауэра, журналы DNS, файлы журналов ОС, базы данных. , сетевые журналы и другие источники. Следовательно, его важным организациям необходимо хранить подробную информацию о прошлых событиях безопасности, чтобы помогать и извлекать, сравнивать и понимать дальнейшую аналитическую информацию об угрозах. Включая данные о системах, затронутых инцидентом, какими конкретными уязвимостями фактически воспользовался хакер или злоумышленник и какие индикаторы компрометации были обнаружены, а также данные о пакете и другие необработанные вспомогательные данные.
Внешняя аналитика угроз. Разнообразные источники вне организации, которые готовы делиться и объединять информацию, в том числе данные из открытых источников, которые легко доступны в общедоступных доменах, таких как блоги технических новостей, подробные отчеты, общедоступные списки блокировок, в различных формы и т. д., частные и коммерческие источники от платных поставщиков в виде программ, отчетов и отраслевых групп обмена информацией о потенциальных угрозах кибербезопасности .
Почему важна аналитика угроз?
В сфере кибербезопасности продвинутые постоянные угрозы (APT) и защитники постоянно пытаются перехитрить друг друга как образ жизни. Организации особенно заинтересованы в том, чтобы знать следующие шаги противника, а значит, лучше подготовиться и заранее адаптировать свою защиту и предвидеть будущие атаки.
Как на самом деле работает анализ угроз?
Все разработанные и находящиеся на стадии разработки решения аналитики угроз постоянно собирают огромный объем необработанных данных о возникающих или существующих субъектах угроз и угрозах из многочисленных источников, затем данные непрерывно анализируются и фильтруются для создания отчетов об угрозах и управленческих отчетов, вся информация может быть использовала, разработала и укрепила автоматизированные решения по контролю безопасности.
Основная цель этих решений - информировать организации о рисках сложных постоянных угроз, угроз нулевого дня и возможностях эксплойтов, а также о способах защиты от них.
Каковы все основные характеристики аналитики угроз?
Ключевым моментом является получение практической информации из огромного объема данных как источника успеха для любого, следовательно, элементы аналитики угроз можно охарактеризовать с помощью 3 ключевых атрибутов:
• Доказательная
• Платформа искусственного интеллекта для конкретной организации
• Практические идеи.
Доказательная информация об угрозах означает, что угроза была тщательно проанализирована, проверена и подтверждена кибер-экспертами, что угроза реальна и жизненно важна для активов организации. Всегда легче предоставить доказательства внутренних угроз, чем за пределами организации, где задействовано множество внешних факторов.
Платформа искусственного интеллекта для конкретной организации. Хорошая система анализа угроз, разработанная для конкретных требований организации с использованием искусственного интеллекта, становится активом, когда им необходимо усилить существующую систему и добавить больше аналитики, чтобы избежать инцидентов безопасности.
Полезные аналитические данные, полученные на основе внедренной и настроенной системы анализа угроз, и гарантируют, что информация должна способствовать разработке новых средств контроля безопасности или политики, которые снижают степень защиты от угроз. Аналитики безопасности могут настроить оповещение при обнаружении угроз в сети с помощью индикатора компрометации (IOC).
Какие бывают типы аналитики угроз?
Существует 4 типа отчетов об угрозах, которые могут использоваться организациями для улучшения их состояния кибербезопасности, и каждый из них будет представлять различные типы информации об угрозах, которые можно применить и улучшить состояние кибербезопасности.
1.Strategic Intelligence предлагает очень высокоуровневую и основанную на оценке риска информацию, которая является наиболее актуальной информацией для руководителей, принимающих решения, а не напрямую зависит от аналитиков ИТ-безопасности.
2.Tactical Intelligence предлагает исчерпывающую информацию о тактике, методах и процедурах (TTP) злоумышленников для проведения определенного типа кибератак.
3. Оперативная разведка содержит действенную информацию, основанную на доказательствах, для конкретной предстоящей атаки. Оперативной информации меньше, чем других типов информации об угрозах, но она может служить своевременным предупреждением о надвигающейся угрозе безопасности.
4. Техническая разведка - это результат сбора информации из внутренних источников, а индикаторы технических угроз собираются с помощью анализа журналов событий .
Как Thread Intelligence помогает организациям?
Аналитика угроз может помочь в достижении следующих целей:
• Быть в курсе использования передовых моделей искусственного интеллекта / машинного обучения для анализа и настройки огромного объема данных путем анализа видов угроз и уязвимостей, целевых источников и злоумышленников под наблюдением.
• Вся организация становится проактивной и хорошо подготовленной к любым будущим угрозам кибербезопасности.
• Убедитесь, что все ключевые лидеры, лица, принимающие решения, заинтересованные стороны и конечные пользователи хорошо осведомлены о последних киберугрозах и мерах по их устранению, необходимых для предотвращения негативных последствий в бизнесе.
• Снижение затрат: недавние утечки данных в организациях вызвали не только потерю данных, но и репутацию, положение на рынке с потерей бизнеса, поэтому они должны нести расходы на штрафы, судебные иски, расходы на расследование, восстановление после инцидентов и усилия по восстановлению, а также сроки, расходы и многое другое. Аналитика киберугроз, безусловно, помогает снизить общие расходы организации и сэкономить бизнес-капитал за счет улучшения ее средств защиты при одновременном снижении рисков организации.
• Снижение риска: киберпреступники неустанно исследуют новые способы проникновения в сети организации. Аналитический анализ угроз обеспечивает своевременную визуализацию возникающих угроз безопасности, чтобы минимизировать риск потери данных, заблокировать сбои в бизнес-операциях и получить максимальное согласие регулирующих органов.
• Управление потерей данных: система анализа угроз действует как сторожевой таймер, когда подозрительные IP-адреса или домены пытаются связаться с сетью организации для сбора важной информации с помощью интеллектуальной системы CSTI, которая может предотвратить проникновение таких IP-адресов в сеть и кражу конфиденциальных данных.
• Эффективное управление персоналом: система анализа угроз повысит общую эффективность группы безопасности за счет сопоставления информации об угрозах с аномалиями, отмеченными инструментами в сети. В частности, предприятия, использующие автоматизированные системы, становятся гибкими и быстро реагируют, что позволяет сотрудникам сосредоточиться на критических задачах.
• Глубокий анализ киберразведки: аналитика киберугроз действительно помогает организациям анализировать и эмулировать различные методы, разработанные хакерами и киберпреступниками. Анализ этих угроз глубоко помогает организациям определить, могут ли системы защиты безопасности устранить такую атаку и в какой степени.
• Обмен аналитическими данными об угрозах: обмен данными имеет решающее значение для защиты организаций и обычных людей, он действительно помогает понять, как хакеры планируют нарушение безопасности, и может помочь другим предотвратить такие атаки.
Мониторинг аналитики угроз, оповещения и ответ:
• Команда по гибридной кибербезопасности, использующая модели AI / ML и человеческую комбинацию для мониторинга всех сетей, системного входа в систему в режиме реального времени, сравнения текущих журналов и событий с прошлыми событиями безопасности и распознавания этого, а затем автоматически запускает предупреждения. Кроме того, упреждающий мониторинг угроз с помощью глубокой аналитики на основе ИИ помогает предсказать, когда подобное событие произойдет в будущем. Все эти системы используют корпоративные инструменты SIEM, поэтому они могут отправлять предупреждения и инициировать автоматический ответ, чтобы заблокировать угрозу.
• Организациям необходимо соотнести наблюдаемые индикаторы компрометации (IoC) с известными угрозами, чтобы определить, насколько быстро и точно выявляется реакция на вторжение на основе постоянного наблюдения за их сетью, агрегированной в SIEM.
Каковы общие признаки нарушения безопасности?
Во времена пандемии организации находятся под огромным давлением, требующим снижения затрат и повышения защиты от уязвимостей безопасности, поскольку ландшафт угроз постоянно развивается, поэтому отчеты об угрозах с использованием ИИ могут помочь в выявлении общих индикаторов компрометации (IOC) и рекомендациях необходимых мер по смягчению последствий. приняты, чтобы предотвратить любую будущую атаку или заражение.
Наиболее распространенные индикаторы взлома (IOC):
• Интернет-трафик с нечеловеческим поведением
• Увеличение объема чтения базы данных
• Размеры HTML-ответа.
• Большое количество запросов на один и тот же файл
• Несоответствующий трафик приложения порта
• Подозрительные изменения реестра или системных файлов
• Аномалии запросов DNS
• Необычный исходящий сетевой трафик.
• Аномалии в активности учетной записи привилегированного пользователя.
• Географические нарушения.
• Неожиданное исправление систем
• Изменения профиля мобильного устройства
• Пакеты данных в неправильных местах
• Признаки DDoS-активности
• Другие красные флажки при входе в систему
• IP-адреса, URL-адреса и доменные имена будут нацелены вредоносным ПО на внутренний хост, который взаимодействует с известным злоумышленником.
• Попытка фишинга против организаций. Адреса электронной почты, тема электронной почты, ссылки и вложения, предполагающие, что ничего не подозревающий пользователь щелкнет ссылку или вложение и запустит вредоносную команду.
• Ключи реестра, имена файлов, хэши файлов и библиотеки DLL подвергаются атаке с внешнего хоста, который уже отмечен как злонамеренный или уже заражен.
Основные типы угроз кибербезопасности?
Подробная информация о векторах атаки
•Вирус
Это также программный код, в котором его истинная сила заключается в том, чтобы дублировать себя несколько раз, подключив их к программе на главном компьютере, например, в бизнес-программах с открытым исходным кодом, играх, видео, песнях и т. Д. Макровирус, вирус загрузочного сектора, скрытый вирус и т. Д.
•Черви
Черви также самовоспроизводятся по своей природе, но они не подключаются к программам на главном компьютере. Основное различие между вирусами и червями заключается в том, что черви представляют собой программные коды, поддерживающие работу в сети, они легко перемещаются с одного компьютера на другой, если сеть подключена и находится на целевой машине, но это не причинит большого вреда. например, он будет занимать много места на жестком диске, а следовательно, и памяти, что снизит скорость компьютера.
• Троян
Троян отличается от вирусов и червей, название троян происходит от сказки «Троянский конь» в греческой мифологии, оно объясняет старую историю о том, как греки были готовы войти в укрепленный город Трою, укрывая своих солдат во время большого троянского коня. троянцам в подарок, чем ночью напали на город изнутри. Точно так же некоторые программы кажутся вполне законными снаружи, тогда, когда программное обеспечение запускается, они собираются либо красть информацию, либо выполнять другую цель, которую они спроектировали как бэкдор-шлюз для вредоносных программ или злонамеренных пользователей, чтобы проникнуть в вашу систему и украсть ваши ценные данные без вашего ведома и разрешения. Примеры включают FTP-трояны, прокси-трояны, трояны удаленного доступа и т. Д.
• Боты
Ботов часто считают сложными червями и их высокоавтоматизированными процессами со встроенным интеллектом, поэтому они очень интерактивны без необходимости взаимодействия с человеком из-за технологий искусственного интеллекта и машинного обучения. поддерживаемое использование часто имеет хорошие или плохие функции, и оно может заразить один хост, а после заражения создаст соединение с центральным сервером, который может предоставлять команды всем или любым зараженным хостам, подключенным к сети, называемой ботнетом.
Другие векторы потоков:
Распределенный отказ в обслуживании (DDoS)
Атака отказа в обслуживании (DoS), в основном подавляющая системные ресурсы целевой системы, пытается остановить работу и отказывает в доступе конечным пользователям, поскольку распределенный отказ в обслуживании (DDoS) является вариантом DoS, и злоумышленники ведут переговоры с большим количеством устройства и сетевые системы, а затем использовать их в качестве скоординированной атаки на целевые ресурсы организации. Эти атаки являются частью коллективных ресурсов для киберугроз и используются для запуска отказа в обслуживании ценных ресурсов, конечных пользователей и создания путаницы, используя ситуацию, злоумышленники будут выполнять более изощренные атаки, направленные на кражу данных или нанесение огромного ущерба организационным ресурсам.
К методам DDoS-атак относятся:
Атака TCP SYN Flood, Ботнеты, Атака Smurf, Атака Teardrop, Атака Ping of Death
Атака "человек посередине" (MitM)
Когда к пользователям или устройствам обращается удаленная система через Интернет, большинство пользователей предполагают, что они напрямую связываются с сервером целевой системы. В атаке MitM злоумышленники нарушают это предположение, вставая между пользователем и целевым сервером. После того, как злоумышленник перехватил сообщения, он может скомпрометировать учетные данные конечного пользователя и украсть конфиденциальные данные и даже вернуть пользователю разные ответы.
MitM-атаки включают:
Перехват сеанса, повторная атака, IP-спуфинг, подслушивающая атака
Атаки социальной инженерии
Атаки социальной инженерии в основном основаны на психологическом манипулировании конечными пользователями посредством выполнения выбранных действий или действий, желаемых злоумышленником / хакером / сталкером, с раскрытием конфиденциальной информации.
Атаки социальной инженерии включают:
Фишинг, Spear-фишинг, Homograph, троянские вирусы, вредоносные программы Wiper, программы-вымогатели, вредоносная реклама, скрытые загрузки, мошенническое ПО безопасности
Парольные атаки
В основном это хакеры, которые получают доступ к информации о пароле от человека через «сниффинг» в личном Интернете или подключении к локальной сети организации, используя различные методы, включая социальную инженерию, угадывание или получение доступа из базы данных паролей. Злоумышленник может «угадать» пароль случайным или систематическим способом, используя различные инструменты и методы автоматизации.
Атаки на пароли включают:
Подбор пароля методом перебора и атака по словарю
Постоянные угрозы повышенной сложности (APT)
Расширенная постоянная угроза (APT) - это атака, при которой неавторизованные хакеры получают доступ к ресурсам организации, таким как системы, сети и базы данных, хакеры остаются анонимно в течение длительного периода времени, чтобы избежать отслеживания или обнаружения командой безопасности и их инструменты в течение определенного периода времени на основе глубокого анализа, они выявили лазейки в настройке, используя его, постепенно прогрессируют атаки APT, этот тип атак очень трудно обнаружить, так как он очень настраиваемый и сложный, особенно они разработаны, реализованы высоко опытных хакеров для конкретной и целевой цели, поэтому организациям с хорошей настройкой безопасности и планами смягчения последствий очень сложно отследить и защититься от этого.
Фактически, в настоящее время APT-атаки многократно увеличиваются, поскольку злоумышленники полагаются на свою способность оставаться незамеченными и неотслеживаемыми и скрытыми от радаров, чтобы выполнить конкретную миссию, чтобы стать успешным, особенно эти атаки опасны для крупных корпораций или предприятий, где хакеры получили доступ к своим конфиденциальным данным.
APT состоит из нескольких этапов: от разработки до реализации до отслеживания и взлома, начиная с взлома сети, избегая механизма обнаружения и воздерживаясь от него, наконец, путем построения подробного плана атаки и сопоставления данных компании, чтобы определить, где требуемые данные наиболее доступны, собирая конфиденциальные данные компании, и извлечение этих данных.
Предупреждения APT включают следующее:
Подозрительные входы в систему, трояны-бэкдоры, мониторинг потока данных, обнаружение неожиданных пакетов данных, обнаружение атак с передачей хэша.
Фишинговые / целевые фишинговые атаки
Фишинговые атаки - это часть особой практики отправки электронных писем, которые кажутся из надежного источника, с целью получения личной информации или оказания влияния на пользователей для управления определенными функциями. Эти виды атак традиционно сочетаются с атаками социальной инженерии, а затем обманывают конечных пользователей. Обычно эти атаки предназначены для отправки вложения в электронном письме, где вложения загружены вредоносным ПО, в то время как конечный пользователь пытается его открыть, а затем он загружается в системы конечного пользователя, а другой тип атаки - это обмен хитрой ссылкой на взломанный веб-сайт, который очень сложно поверить в злоумышленник, который может обмануть пользователей для загрузки вредоносных программ или передачи личной информации через мошеннические ссылки с использованием лучших торговых марок / схем - реклама на веб-сайтах, например купоны Amazon, через пересылки / электронные письма в социальных сетях
Целевой фишинг - это очень целевой вид фишинговых действий. Злоумышленники найдут время, чтобы провести глубокое исследование своих целей и создать новаторские конструкции и сообщения с тщательно продуманной информацией, которые будут очень личными и актуальными для пользователей. Из-за индивидуально разработанной атаки целевые фишинговые атаки трудно идентифицировать, и еще сложнее защитить их, потому что они персонализированные.
Чаще всего хакеры проводят целевые фишинговые атаки с помощью спуфинга электронной почты, при котором информация, полученная в разделе «От» электронного письма, полностью фальсифицируется и выглядит так, как будто поступает от кого-то, кого они давно знают, или официального обмена, например, электронной почты от офис-менеджер, собеседники или деловые партнеры, друг или член семьи. Другой метод, который используют мошенники, - это клонирование веб-сайтов, при котором они копируют / клонируют законные веб-сайты с почти идентичными данными, чтобы обмануть вас и ввести личную информацию (PII) или учетные данные.
Чтобы снизить риск фишинга, вы можете использовать следующие методы:
Критическое мышление, наведение курсора на ссылки, Анализ заголовков писем, Песочница
Мгновенная атака
Это специальное вредоносное ПО, использующее метод распространения и атаки и разработанное для прямой загрузки. Обычно хакеры изучают небезопасные веб-сайты и внедряют вредоносный скрипт в код HTTP или PHP как часть страницы, скрипты устанавливают это вредоносное ПО непосредственно на целевые устройства конечного пользователя, который посещает эти сайты. Попутные загрузки будут происходить только тогда, когда конечный пользователь посещает этот вредоносный веб-сайт или открывает и просматривает прикрепленное сообщение электронной почты или всплывающее окно, щелкнув и не зная о загрузке, в отличие от других типов атак, которые инициируются конечным пользователем, выполняя некоторые действия но при прямой загрузке может использоваться приложение, операционная система или просмотр веб-браузера с недостатками безопасности, такими как неудачные обновления или отсутствие обновлений, может использоваться в качестве оружия для атаки на ресурсы
Чтобы защитить себя от атак проезжающих мимо автомобилей:
· Регулярно обновляйте ОС и браузеры UpToDate и очищайте вредоносные коды,
· Удалите ненужные коды и аккуратно управляйте приложениями и не храните слишком много ненужных программ и приложений на вашем устройстве,
· Для приложений типа плагинов большее использование плагинов означает больше уязвимостей, которые могут быть использованы злоумышленниками.
Парольная атака
Пароли являются наиболее широко используемым механизмом безопасности для управления доступом и аутентификации приложений или информационных систем, включая приложения для социальных сетей, поэтому получение паролей, важных для хакеров для нацеливания на них, является очень эффективным подходом к атаке по всему миру для проникновения и извлечения личной информации. Доступ к личному паролю человека можно получить, наблюдая за его личной деятельностью, следовательно, «обнюхивая» его сетевое соединение путем получения незашифрованных паролей или использования методов социальной инженерии или поиска из баз данных паролей, либо путем прямого угадывания или использования инструментов машинного обучения для взлома. парольные замки. Хакеры используют разные подходы для достижения своей цели
1. Для защиты от парольных атак необходимо защитить
2. Подбор пароля методом перебора и атака по словарю.
SQL-инъекция
Атаки с использованием SQL-инъекций становятся распространенной проблемой для большинства веб-сайтов, которые управляются базами данных. Все это происходит из-за того, что злоумышленник выполняет функцию запроса SQL для получения баз данных через входные данные из клиентского приложения для получения сервера в качестве вызова приложения. Хотя данные приложения команд SQL будут вставлены в базу данных / таблицы, любые успешные инъекции SQL будут использовать, что может считывать конфиденциальные данные из базы данных и выполнять оператор обновления (вставка, обновление или удаление) в базу данных, а также запускать / отключать административные операции. базу данных и восстановить содержимое заданного файла и, в некоторых случаях, отдать команды операционной системе.
Для защиты от атак SQL-инъекций,
Чтобы применить модель less0privilege для разрешений в базах данных
Придерживайтесь хранимых процедур и не должны использовать какие-либо динамические SQL и подготовленные операторы с параметризованными запросами.
Коды, выполняемые для баз данных, должны быть достаточно безопасными, чтобы предотвратить атаки с добавлением инъекций, проверять входные данные по белому списку на уровне приложения.
Межсайтовый скриптинг (XSS)
Межсайтовые сценарии XSS-атаки используют сторонние веб-ресурсы для запуска сценариев в веб-браузере жертвы или в целевых приложениях, поддерживающих сценарии. Более конкретно, злоумышленники используют для внедрения полезной нагрузки с вредоносным JavaScript для нацеливания на базу данных соответствующего веб-сайта всякий раз, когда конечный пользователь или жертва запрашивает загрузку страницы с веб-сайта, когда веб-сайт передает страницы с полезной нагрузкой злоумышленника как часть тела HTML на браузер жертвы, который запускает вредоносный скрипт.
Например, он отправит сведения о файлах cookie браузера жертвы на сервер злоумышленника, после чего злоумышленник извлечет необходимую информацию и затем использует тип атаки с перехватом сеанса, наиболее значительное влияние будет всякий раз, когда XSS используется для использования дополнительных уязвимостей, которые могут гарантировать, что злоумышленник не только крадут данные cookie, но также записывают данные, связанные с нажатиями клавиш, и делают снимки экрана, обнаруживают и собирают сетевую информацию, а также получают удаленный доступ и управление машиной жертвы.
В то время как XSS можно использовать, используя фреймворки JavaScript в качестве последнего и наиболее широко используемого метода атаки, поскольку он используется для разработки веб-приложений и мобильных приложений.
Чтобы защититься от XSS-атак, разработчики должны очистить входные данные, передаваемые пользователями через HTTP-запрос, прежде чем отразить их обратно. Чтобы убедиться, что все данные проверены, отфильтрованы или экранированы, перед тем, как что-либо отобразить обратно пользователю, например значения параметров запроса во время поиска. Преобразование специальных символов, таких как? &, /, ‹,› И пробелы к их соответствующим эквивалентам в кодировке HTML или URL. Предоставьте пользователям возможность отключать клиентские скрипты.
Атака с перехватом
Атаки с подслушиванием происходят путем перехвата сетевого трафика путем перехвата / отслеживания, основная цель злоумышленника - получить PII личной конфиденциальной информации, такой как пароли, номера кредитных карт и другую конфиденциальную информацию, которую пользователь может отправлять по сети в домене BFSI. или личную информацию.
Подслушивание может быть пассивным или активным:
· Пассивное подслушивание. Хакер обнаруживает информацию, прослушивая передачу сообщения в сети.
· Активное подслушивание. Хакер активно захватывает информацию, маскируясь под дружеское подразделение и отправляя запросы передатчикам. Это называется зондированием, сканированием или вмешательством.
Обнаружение атак с пассивным подслушиванием часто бывает важно, чем обнаружение активных атак, так как активные атаки требуют, чтобы злоумышленник узнал о периокулярной сети, предварительно выполнив пассивное подслушивание. Лучшая мера для защиты данных в сети - включить шифрование данных в качестве меры противодействия перехвату.
Атака по случаю дня рождения
Атаки по случаю дня рождения являются мишенью для алгоритмов хеширования, которые используются для проверки целостности сообщений, программного обеспечения и цифровых подписей. Сообщения обрабатываются хэш-функцией, которая создает дайджест сообщения (MD) фиксированной длины, независимо от длины входящего сообщения, и MD однозначно характеризует эти сообщения.
Атаки дня рождения относятся к вероятности обнаружения двух случайных сообщений, которые генерируются в одном и том же MD при обработке хеш-функцией. Если злоумышленник вычисляет для своего сообщения тот же MD, что и пользователь, он может безопасно заменить сообщение пользователя своим, и получатель не сможет обнаружить замену, даже если он сравнит MD.
Векторы атак на основе вредоносного ПО
Вредоносные, шпионские и вымогатели будут различаться в зависимости от их действий и поведения:
Хакеры будут использовать все типы инновационных методов для передачи вредоносных программ на устройства пользователей, в основном используя уловки, чтобы попросить конечных пользователей выполнить определенные действия, такие как щелчок по ссылке или открытие вложения и т. Д., А также они будут использовать уязвимости в браузерах. или операционные системы через вредоносное ПО, чтобы установить себя без ведома или согласия пользователя после установки вредоносного ПО, тогда они могут отслеживать действия конечного пользователя, отправлять конфиденциальные данные злоумышленнику, помогать злоумышленнику проникать в другие цели в сети и собирать дополнительную информацию для постоянного нацеливания на другие цели, даже если это может привести к участию устройства пользователя в ботнете, используемом злоумышленником для злого умысла
Рекламное ПО - злоумышленник может встроить вредоносный код в программное обеспечение в качестве рекламного ПО в маркетинговых целях; рекламные баннеры отображаются во время работы любой программы для показа рекламы на основе интересов конечного пользователя в качестве основной цели этого рекламного ПО, они могут использовать код для отслеживания действий системы конечного пользователя и даже могут поставить под угрозу машины, поскольку они могут нарушить конфиденциальность пользователей. В основном это дополнительная часть бесплатного программного обеспечения или часть открытого исходного кода. Еще один важный факт: он автоматически загружается в систему конечного пользователя при просмотре любого веб-сайта и может просматриваться через всплывающие окна или через панель, которая автоматически появляется на экране компьютера.
Шпионское ПО. Шпионское ПО - это программа, которая устанавливается для сбора информации о пользователях, их компьютерах или их привычках просмотра. Он отслеживает все, что вы делаете без вашего ведома, и отправляет данные удаленному пользователю, а также может загружать и устанавливать другие вредоносные программы из Интернета. Шпионское ПО работает как рекламное ПО, но обычно представляет собой отдельную программу, которая устанавливается по незнанию при установке другого бесплатного приложения. Шпионское ПО обычно сбрасывается троянами, вирусами или червями, и после сброса они устанавливаются и остаются незаметными, чтобы избежать обнаружения.
Наиболее распространенными примерами шпионского ПО являются Keylogger, а основная задача кейлоггера - записывать нажатия клавиш пользователя с меткой времени, в основном это конфиденциальная информация, такая как имя пользователя, пароли, данные кредитной карты и т. Д., Чтобы
Черви - черви отличаются от вирусов тем, что они не прикрепляются к файлу хоста, а представляют собой автономные программы для распространения по сетям и компьютерам, особенно черви обычно распространяются через вложения электронной почты; открытие вложения активирует программу-червь. Типичный эксплойт червя заключается в том, что червь отправляет свою копию каждому контакту на адресе электронной почты зараженного компьютера в дополнение к злонамеренным действиям, распространение червя по Интернету и перегрузка почтовых серверов может привести к атакам типа «отказ в обслуживании» на узлы на компьютере. сеть.
Программы-вымогатели - это особый тип вредоносного ПО, которое либо шифрует ваши файлы или базы данных, либо блокирует ваши устройства или операционные системы, делая их частично или полностью недоступными, чтобы конечные пользователи не могли выполнять повседневные функции. Хакеры используют для отображения экрана сообщение с просьбой дать деньги в качестве выкупа в обмен на разблокировку системы или ресурсов. Наиболее продвинутое вредоносное ПО использует метод, называемый криптовирусным вымогательством, при котором файлы / базы данных / устройства жертвы шифруются таким образом, что их восстановление без ключа дешифрования практически невозможно.
Пугающее ПО - оно претендует на роль инструмента, помогающего исправить системы, но когда программное обеспечение запускается, оно заразит вашу систему или полностью разрушит, оно отобразит сообщение, которое напугает конечных пользователей и заставит их принять меры, например заплатить им, чтобы исправить чувствительные устройства или системы.
Руткиты - предназначены для получения root-доступа или предполагают, скажем, административные привилегии в пользовательской системе. Получив root-доступ, злоумышленник может делать что угодно - от кражи личных файлов до личных данных.
Зомби - он работает так же, как шпионское ПО, особенно механизм заражения работает аналогично, но он не будет шпионить и красть информацию, а будет ждать, пока хакеры выполнят команды в удобное для них время и ресурсы.
Макровирусы - эти вирусы обычно заражают приложения, такие как приложения Microsoft Word или Excel, макровирусы, прикрепленные к последовательности инициализации приложения, и всякий раз, когда приложение открывается, вирус выполняет инструкции перед передачей управления приложению. Другой факт: этот вирус реплицируется и прикрепляется к другим кодам на устройстве.
Файловые инфекторы - вирусы файловых инфекторов прикрепляются к исполняемому коду, например к файлам .exe, и эти вирусы устанавливаются всякий раз, когда код загружается в системную память для выполнения, и существует другая версия файлового инфектора, которая связывает себя с файлом, создавая вирусный файл с тем же именем, что и существующий, но с расширением .exe. Следовательно, при открытии файла код вируса будет выполняться.
Системный или загрузочный сектор или инфекторы загрузочной записи - вирус загрузочной записи прикрепляется к основной загрузочной записи на жестких дисках, и всякий раз, когда система запускается, он просматривает загрузочный сектор и загружает вирус в память, а затем распространяется по частям. дисков и ПК.
Полиморфные вирусы - эти типы вирусов маскируются с помощью различных циклов шифрования и дешифрования. Зашифрованный вирус и связанный с ним механизм мутации сначала расшифровываются программой дешифрования, затем вирус продолжает заражать область кода. Затем механизм мутации разрабатывает новую процедуру дешифрования, и вирус шифрует механизм мутации и копию вируса с помощью алгоритма, соответствующего новой процедуре дешифрования. Зашифрованный пакет механизма мутации и вируса прикрепляется к новому коду, и процесс повторяется. Такие вирусы трудно обнаружить, но они обладают высоким уровнем энтропии из-за множества модификаций их исходного кода. Антивирусное программное обеспечение или бесплатные инструменты, такие как Process Hacker, могут использовать эту функцию для их обнаружения.
Стелс-вирусы. Стелс-вирусы берут на себя функции системы, чтобы скрыть себя, и делают это, компрометируя программное обеспечение для обнаружения вредоносных программ, чтобы программа сообщала о зараженной области как о неинфицированной. Эти вирусы скрывают любое увеличение размера зараженного файла или изменение даты и времени последнего изменения файла.
Логические бомбы. Логическая бомба - это тип вредоносного программного обеспечения, которое добавляется к приложению и запускается определенным событием, например логическим условием или определенной датой и временем.
Дропперы - дроппер - это программа, используемая для установки вирусов на компьютеры, и во многих случаях дроппер не заражен вредоносным кодом и, следовательно, может не быть обнаружен антивирусным программным обеспечением, но в любой момент дроппер может подключиться к Интернет и загрузите обновления для вирусного программного обеспечения, которое находится в скомпрометированной системе.
Кража интеллектуальной собственности означает нарушение прав интеллектуальной собственности, таких как авторские права, патенты, торговые символы, товарные знаки, копирование ноу-хау? и т. д.
Кража личных данных означает незаконное, мошенническое или без согласия получение личной информации человека или доступ к важной информации, или доступ к ней с устройства, или кражу / взлом / обмен из учетных записей социальных сетей с использованием их учетных данных. В наши дни кражи устройств и информации увеличиваются из-за использования мобильных устройств для обработки огромного объема личных и конфиденциальных информационных данных.
Саботаж означает уничтожение личного или организационного веб-актива, такого как веб-сайты или мобильные приложения, с целью нанести ущерб бизнесу или репутации или потере доверия своих клиентов.
Вымогательство информации означает кражу собственности или информации компании с целью получения взамен оплаты. Большинство атак программ-вымогателей блокируют файлы жертв, делая их недоступными, вынуждая жертв совершать платежи в обмен. Только после оплаты файлы жертвы будут разблокированы.
Почему именно Skanda Shield?
Платформа передовых решений для анализа угроз: наша платформа интеллектуального анализа безопасности с поддержкой ИИ включает в себя стандартные отраслевые возможности отчетности по анализу киберугроз с использованием CrowdStrike и Tannable-API, предлагая актуальные данные IOC и обеспечивающие защитные меры для обнаружения любых новейших кибернетических угроз. угрозы и предотвратить их отслеживание с помощью предупреждений в реальном времени и других необходимых мер противодействия.
В SkandaShield мы полностью понимаем болевые точки клиентов - от конфиденциальности и безопасности бизнес-данных и данных клиентов до экономичного способа управления безопасностью систем, что является важной причиной, по которой наши предложения легко настраиваются, и вы можете заменить устаревшие инструменты SIEM или сосуществовать наши решения с существующими решениями SIEM. Для получения более подробной информации посетите https://skandashiled.com или свяжитесь с нами по телефону.
