Что такое кибератаки и как от них защититься
Язык инноваций
Читать 19 мин
22 ноября 2024 года

Что такое кибератаки и как от них защититься

К сожалению, сегодня кибератаки стали неотъемлемой частью информационной реальности. Их число стремительно растёт, и если раньше мы слышали о десятках инцидентов в полугодие (источник здесь), то сегодня можно насчитать тысячи случаев всего за месяц (источник здесь). Без сомнения, вопросы информационной безопасности и защиты от кибератак — актуальная тема, потому что защищаться должны не только физические лица, но и компании, в законах появляются новые требования к защите данных, и растёт критическая важность данных, которые подвергаются опасности. В нашем блоге уже был интересный материал по основам кибербезопасности, где мы рассматривали ключевые угрозы для пользователей. Теперь предлагаем вам узнать о том, что делать компаниям в случае кибаратаки и кто отвечает за такую защиту на профессиональном уровне. В статье расскажем подробно о том, что такое кибератака, как компания может от неё защититься и какие специалисты за это отвечают.

Что такое кибератака

Согласно данным Министерства иностранных дел РФ (источник здесь), количество кибератак на отечественные организации в прошлом году увеличилось на 80%. Тот же тревожный тренд ощутило 35% компаний, опрошенных в исследовании Searchinform (источник здесь). И что более важно, такая негативная динамика сохраняется уже второй год подряд, продолжаясь и в 2023 году. 

Кибератака ― это враждебные действия, которые злоумышленник может совершить в цифровой среде, чтобы нарушить конфиденциальность или целостность данных, получить несанкционированный доступ к информационным и коммерческим системам или компьютерным сетям.

Существует множество различных видов кибератак, включая вирусы, троянские программы, DDoS-атаки, фишинг, инженерный взлом и многие другие. Защита от кибератак требует комплексного подхода, включая обновление программного обеспечения, обучение сотрудников в области кибербезопасности, настройку брандмауэров и антивирусных программ, мониторинг сетевой активности и многое другое.

Очевидно, что успех кибератак зависит от уязвимости информационно-технологической инфраструктуры компаний. В свете этой реальности всё больше организаций стремится усилить свои ресурсы в области информационной безопасности. Одним из популярных решений является внедрение SIEM-систем — специализированных программ, которые способны анализировать поток событий, выявлять угрозы и помогать в расследовании инцидентов.

Кроме того, нельзя не отметить дефицит специалистов в области информационной безопасности, который, по мнению экспертов, только усиливается из года в год (источник здесь). На это влияет повышенная ответственность перед законом (вплоть до уголовной) для работающих в этой сфере и сильная ротация кадров. Однако в 2022 году в 14% организаций из вышеупомянутого исследования (источник здесь) впервые появилось специальное подразделение по информационной безопасности, а к 2023 году эта тенденция только усилилась. Такой интерес к ИБ-технологиям свидетельствует о том, что со временем дефицит кадров может уменьшиться.

Следует отметить, что правительство РФ также придаёт высокий статус культуре информационной безопасности, утвердив Концепцию формирования и развития культуры информационной безопасности граждан РФ (источник здесь). Этот шаг подчёркивает важность подготовки профильных специалистов в области информационной безопасности. На пути к этой цели уже были запущены программы по повышению уровня информационной безопасности, в которых участвовали сотрудники государственных и коммерческих организаций из различных подразделений.

Типы кибератак

Кибератаки могут классифицироваться по мотивам и целям, а могут — по типам воздействия. Рассмотрим оба варианта.

Кибератаки по мотивам злоумышленников

  • Финансовые мотивы, когда киберпреступники собираются украсть деньги или финансовую информацию, злоупотребить банковскими данными или провести мошеннические действия, например через фишинг или скимминг (технологии для обмана пользователя с целью получения его личных данных).
  • Политические или геополитические мотивы, когда кибергруппировки собирают разведывательную информацию о компании, которая по их мнению, не соответствует этическим представлениям. Например, бывают кибератаки на компании, связанные с добычей и обработкой природных ископаемых, такие атаки могут серьёзно влиять на окружающую среду и животных. 
    Так, в 2012 году кибергруппировка Anonymous провела операцию FishNet ― серию атак на организации и ведомства, связанные с добычей нефти и газа, а также с разработкой и использованием гарпунов для коммерческой рыбалки. Anonymous утверждала, что таким образом она боролась с разрушительными практиками в отношении окружающей среды, которые могли угрожать морской жизни и экосистемам.
  • Идеологические мотивы — хактивисты (активисты в сети) могут совершать кибератаки для поддержки своих убеждений или в целях привлечения внимания к определённым вопросам.
  • Коммерческие мотивы подразумевают взлом систем и сетей с целью кражи бизнес-секретов, клиентских данных или уклонения от налогов. 
    Один из ярких типов такой кибератаки — это атака на компанию Equifax в 2017 году. Equifax — это крупное агентство по кредитным отчётам в США, которое хранит огромное количество чувствительной финансовой информации о гражданах и компаниях. В ходе этой атаки хакеры смогли проникнуть во внутреннюю сеть компании и получить доступ к личным данным 140 миллионов человек, включая имена, даты рождения, адреса и другие чувствительные сведения. Эта атака была одной из самых крупных утечек данных в истории и представляла серьёзную угрозу для конфиденциальности и безопасности множества людей.
  • Ещё один мотив — уничтожение данных. Некоторые типы кибератак могут быть направлены на уничтожение информации, которая вызовет материальные или операционные проблемы внутри организации.
    Например, в 2010 году хакеры атаковали систему управления промышленным оборудованием в Иране, известную как Stuxnet. Атака была направлена на иранскую ядерную программу и привела к повреждениям промышленных систем, которые контролировали урановые центрифуги. Целью атаки было уничтожение данных и повреждение оборудования для замедления и разрушения иранской ядерной программы. Этот один самых известных примеров кибератак с целью уничтожения данных демонстрирует, как кибератаки могут иметь серьёзные геополитические последствия и негативно воздействовать на критическую инфраструктуру и окружающую среду.

Кибератаки по типам воздействия

  • Вирусы и черви (malware). Эти типы кибератак объединены общей целью — они могут передаваться между устройствами в качестве программ или скриптов и распространяются автономно и не всегда с участием человека. 
  • Фишинг (phishing) включает в себя разные направления: атаки через электронную почту и фальшивые сайты. Их цель в том, чтобы обмануть пользователя и получить его личные данные, мимикрируя под реальный легальный ресурс.
  • DDoS-атаки направлены на перегрузку серверов или сетей лишним трафиком, чтобы временно или полностью отключить доступ к сервисам. 
  • Троянские программы (trojans). Эти вредоносные программы часто скрываются под видом полезного ПО, чтобы выполнить негативное действие после того, как пользователь установит его на компьютер.
  • Спуфинг (spoofing) — подделка идентификационных данных или адресов, чтобы обмануть пользователя и получить несанкционированный доступ к системе.

Остановимся на каждом из видов более подробно.

Вредоносные программы

Кибератаки, использующие вредоносные программы, являются одними из наиболее распространённых и опасных. Приведём примеры:

  • WannaCry: глобальная атака в 2017 году, использующая вирус-вымогатель, который шифровал данные на компьютерах и требовал выкуп за их разблокировку.
  • Conficker: червь, который в 2008 году заразил миллионы компьютеров по всему миру. Отключая разные службы на компьютере, блокируя доступ к сайтам антивирусов, он запускал саморассылку на другие устройства.
  • Zeus: троянский конь, появившийся в 2007 году и предназначенный для кражи финансовых данных, таких как банковские пароли и номера кредитных карт.
  • NotPetya: вирус-вымогатель, который в 2017 году парализовал множество компьютерных систем и оказал серьёзный экономический ущерб.

Кибератаки с использованием вредоносных программ могут иметь разные цели, включая вымогательство выкупа, кражу конфиденциальных данных, разрушение систем и даже шпионаж. Защита от таких атак требует актуальных антивирусных программ, регулярных обновлений и бережного обращения с прикреплёнными файлами и ссылками в электронной почте. Подобные атаки становятся всё более «безфайловыми», что усложняет их выявление традиционными методами, вроде антивирусных программ, которые анализируют вложения вредоносных файлов (источник здесь).

DoS и DDoS-атаки

DoS (Denial of Service, или отказ в обслуживании) и DDoS (Distributed Denial of Service, или распределённые атаки) — это разновидности кибератак, которые нацелены на перегрузку целевых серверов или сетей, приводя к отказу в доступе к ресурсам. Они особенно опасны, поскольку могут временно или полностью отключить сайты и онлайн-сервисы. Приведём частые примеры таких атак:

  • Blue Whale Attack — это пример DDoS-атаки, в которой сеть из заражённых устройств, например компьютеров, направляет огромные объёмы трафика на конкретный ресурс, перегружая его и вызывая временное или длительное отключение.
  • Атака Ping of Death — отправка огромных пакетов данных для перегрузки сетевых устройств, таких как маршрутизаторы или серверы.
  • Smurf Attack — DDoS-атака, при которой злоумышленники отправляют фальшивые ICMP-запросы на широковещательный адрес и вызывают волну ответных сообщений, перегружающих целевой сервер.

Защита в подобных случаях включает в себя мониторинг трафика, использование фильтров и механизмов обнаружения аномалий, а также распределённые сетевые решения для устойчивости к атакам.

Фишинг

Это тип кибератаки, когда ресурсы злоумышленника пытаются выдать себя за доверенный источник, чтобы обмануть пользователей и получить доступ к личным данным или финансовой информации.

  • Почтовый фишинг ― это отправка поддельных электронных писем, в которых авторы письма выдают себя за банковских работников или представителей налоговых организаций. Жертвы переходят по подставным ссылкам на фальшивый сайт и вводят личные данные, например номер банковской карты или ФИО.
  • Фишинг-сайты создаются злоумышленниками, чтобы предложить пользователям напрямую ввести чувствительные данные в формах обратной связи или корзине. Часто фишинговые сайты маскируются под страницы известных банков и маркетплейсов.

Кибератаки с помощью фишинга обычно имеют финансовые мотивы, и их целью может быть кража банковских паролей, номеров карт или личных данных. 

SQL-инъекции

Это атаки, при которых злоумышленники внедряют зловредный SQL-код на сайты для несанкционированного доступа к базе данных. Приведём примеры таких атак:

  • Атака на поисковую компанию Yahoo в 2014 состоялась благодаря тому, что злоумышленники смогли внедрить SQL-инъекцию на её сайт. Первоначально считалось, что они использовали этот способ для кражи 500 000 пользовательских данных ― email-адресов и паролей. В 2017 году, когда расследование завершилось, в Yahoo признали, что скомпрометированными оказались три миллиарда учётных записей пользователей.
  • Атака на Sony Pictures в том же году позволила злоумышленникам раскрыть конфиденциальные документы студии, получить доступ к корпоративному домену электронной почты и фильмам.

SQL-инъекции представляют серьёзную угрозу для веб-приложений и баз данных. Способы защиты от кибератак в этом случае включают в себя валидацию входящих данных и регулярные аудиты на наличие уязвимостей в коде приложений.

XSS

Этот тип кибератак позволяет злоумышленникам внедрить вредоносный скрипт на сайт или в приложение. После этого скрипт запускается на компьютерах других пользователей, заражая файлы или целую сеть и позволяя атакующим получать доступ к сессиям и данным жертвы. Приведём частые примеры таких атак:

  • Stored XSS — размещение вредоносного скрипта на сайте, который загружается на компьютер пользователя при каждом посещении страницы. 
  • Reflected XSS — отправка жертве опасной ссылки, содержащей скрипт, который выполняется при переходе по ней. 
  • DOM-based XSS — модификация DOM-дерева в браузере жертвы.

XSS-атаки могут иметь разные мотивы, включая кражу данных и введение в заблуждение пользователей. Для защиты от кибератак важно фильтровать и валидировать входящие данные, переходить только по безопасным ссылкам и посещать безопасные сайты.

Ботнеты

Ботнет ― это сеть из устройств, которая заражена вредоносными программами и управляется удалённо. Сами эти устройства называются ботами и используются для выполнения различных задач: массовых атак, кибершпионажа и генерации спама. Вот несколько примеров таких атак:

  • Zeus Botnet — ботнет, заражающий компьютеры троянским скриптом Zeus для кражи финансовых данных.
  • Mirai Botnet — ботнет, который нацелен на носимые устройства, например электронные часы или тонометры, и используется для организации масштабных DDoS-атак.
  • Gameover Zeus — ботнет, который использовался для распространения вирусов-вымогателей, таких как Cryptolocker.

Защита от ботнетов включает в себя использование антивирусных программ, межсетевых экранов и обновление программного обеспечения, чтобы предотвратить заражение устройств

Брутфорс-атаки

Это кибератаки, при которых злоумышленники пытаются взломать учётные записи или защищённые системы через методичный перебор паролей. С этой целью могут использоваться различные комбинации символов, слов и сервисов, которые позволяют подобрать верный пароль к учётным данным пользователя. Приведём частые примеры таких атак: 

  • SSH-Brute-Force — получение доступа к удалённым серверам или устройствам через подбор паролей SSH (от англ. secure shell ― «безопасная оболочка, защищённый сетевой протокол»).
  • Атакующие могут использовать программы или сценарии для многократных попыток входа в учётные записи на сайтах или в приложениях, перебирая пароли.
  • RDP-Brute-Force — взлом учётных записей RDP (Remote Desktop Protocol) для удалённого доступа к компьютерам.

Брутфорс-атаки могут использовать, чтобы получить доступ к системам, украсть данные или запустить другие кибератаки. Чтобы защититься от таких атак, нужно использовать сложные пароли и устанавливать системы ограничения доступа.

Man-in-the-Middle

Это вид кибератаки, при которой злоумышленник пытается проникнуть между двумя устройствами или пользователями, подменяя данные и перехватывая конфиденциальную информацию, не будучи замеченным ни одной из сторон. Приведём частые примеры таких атак:

  • Wi-Fi MITM — создание фальшивой точки доступа Wi-Fi или перехват сигнала в открытых сетях Wi-Fi, чтобы подслушивать или модифицировать сетевой трафик пользователей.
  • SSLStrip — удаление защищённого соединения SSL между пользователем и сайтом, что позволяет злоумышленнику читать и модифицировать передаваемые данные.
  • ARP-spoofing — отправка фальшивых ARP-запросов, чтобы перенаправить сетевой трафик через свой компьютер и перехватывать данные.

MITM-атаки используют для кражи данных, паролей, сеансовых файлов и даже для внедрения вредоносных программ. Для защиты от кибератак важно использовать шифрование данных, проверять сертификаты безопасности и остерегаться подключения к ненадёжным сетям.

Как защитить свои данные 

Защита от кибератак требует комплексного подхода: начать можно с того, чтобы создавать и использовать сильные, уникальные пароли для каждого аккаунта, а также включить двухфакторную аутентификацию там, где это возможно. 

Регулярное обновление операционных систем и программного обеспечения также играет ключевую роль в процессе предотвращения кибератаки. Помимо этого, компании должны обучать своих сотрудников основам кибербезопасности и следовать регламенту информационной безопасности, в котором прописываются правила работы с данными, учётными записями, сервисами компаний. Например, такой регламент должен отвечать на вопросы:

  • может ли сотрудник копировать какую-либо информацию со своего рабочего компьютера на временный носитель (флешку или карту памяти);
  • имеет ли сотрудник доступ к функционалу установки нового ПО на рабочий компьютер;
  • защищена ли сеть компании от действий пользователя по посещению вредоносных ссылок;
  • может ли работник получить доступ к своему компьютеру в офисе, находясь дома, удалённо; если да, то каким образом. 

Кто занимается информационной безопасностью

Информационной безопасностью в компаниях занимаются специалисты и отделы, которые владеют навыками кибербезопасности. В зависимости от размера компании и её потребностей, это могут быть следующие роли и отделы:

  • Системные администраторы и администраторы сетей
    Они отвечают за настройку и обслуживание сетевой инфраструктуры, включая защиту сетей и серверов.
  • Аналитики информационной безопасности
    Эти специалисты отслеживают и анализируют события безопасности, выявляют угрозы и реагируют на них.
  • Специалисты по мониторингу безопасности
    Они занимаются постоянным мониторингом сетей и систем на предмет несанкционированного доступа и аномальной активности.
  • Специалисты по вопросам соответствия и аудита
    Они удостоверяются в том, что компания соблюдает соответствующие стандарты и законы в области кибербезопасности, и проводят аудиты для проверки соответствия.
  • Инженеры по обеспечению безопасности
    Они занимаются настройкой и поддержкой инфраструктуры безопасности, включая брандмауэры, антивирусное программное обеспечение, системы обнаружения вторжений и другие инструменты.
  • Специалисты по управлению доступом
    Они контролируют, кто и как получает доступ к системам и данным внутри компании.
  • Руководители отделов информационной безопасности
    Это руководители и менеджеры, ответственные за разработку и реализацию стратегии безопасности в организации.
  • Сотрудники службы технической поддержки

Они помогают пользователям решать технические проблемы, связанные с безопасностью, и обучают их основам безопасного поведения в сети.

Размер и структура команды по информационной безопасности для грамотного предотвращения кибератак могут различаться в зависимости от потребностей компании и её бюджета. 

Что делать в случае кибератаки

В случае кибератаки на компанию реагировать нужно спокойно и в соответствии с политикой безопасности. Первым шагом должна быть изоляция заражённой системы, чтобы предотвратить дальнейшее распространение атаки. Затем следует уведомить руководство компании и службу безопасности, собрать доказательства произошедшей атаки, включая логи и вредоносные файлы, и провести расследование для выявления уязвимостей и способа, которым был осуществлён взлом. 

Дополнительные меры включают в себя восстановление информации, которая была повреждена, из резервных копий данных, смену паролей, уведомление клиентов компании в случае утечки личных данных, а также обучение сотрудников по безопасности с целью предотвращения подобных атак в будущем.

Итак, в условиях стремительно меняющейся информационной реальности и увеличения числа кибератак защита от них становится критически важной задачей. Соблюдение стандартов информационной безопасности и внедрение современных средств защиты — это шаги, которые могут спасти компанию от серьёзных последствий действий злоумышленников. Что же касается информационной безопасности личности, то ответственность за этот процесс несут и сами пользователи:

  • ежедневно обращаются в банки и используют мобильные приложения с простыми паролями;
  • пересылают в социальных сетях фотографии и конфиденциальные данные;
  • используют почту для хранения важной документации;
  • ведут переписку с государственными структурами, подключаясь к общественным сетям Wi-Fi.

Все эти сервисы могут подвергаться атакам, за которые несут ответственность киберпреступники. Однако если мы будем следить за собственными действиями, например создавать сложные пароли или не переходить по подозрительным ссылкам, мы сможем минимизировать риски. Ответственный подход к информационной безопасности начинается с личного вклада каждого человека. Берегите себя и доступ к своим данным!

Похожие статьи