Статьи
Защита от киберпожаров
Для компаний обычным делом является страхование от пожаров и одновременная реализация стратегий их предотвращения и локализации. Однако по какой-то причине некоторые компании покупают киберстраховку, но не принимают мер защиты от кибератак. Возможно, они не видят в кибератаках такой опасности, как от настоящего пожара, при котором на карту поставлено имущество и даже человеческие жизни. Но с развитием технологий интернета вещей (IoT) тесное сближение физического мира с киберпространством будет способствовать росту рисков. Принятие описанных далее защитных мер может быть чрезвычайно полезно для вашей компании.
Деструктивные кибератаки
Как только компьютеры научились соединяться и общаться друг с другом, тут же появились самораспространяющиеся вирусы и черви. Деструктивные атаки со временем начали происходить все чаще. Атака на сеть одной организации может распространяться быстро, словно пожар, уничтожая системы и данные в интернете. Учитывая растущее число связей между системами в киберпространстве, а также пробелы в их безопасности, любая сеть или машина, подключенная к интернету и не имеющая надлежащих средств защиты, фактически просто стоит и ждет, когда ее подожгут.
Рекомендуемые меры безопасности и предосторожности при защите от угроз в реальном времени
1. Ограничьте применение внешних систем и компонентов в организации, если у вас нет разрешения или возможностей проводить по ним экспертизу. (AC-20. Использование внешних систем | (3) Системы и компоненты, не принадлежащие организации.).
Защита от угроз в реальном времени
Организации часто сталкиваются с инцидентами безопасности именно в тот момент, когда единственный человек, способный работать с инструментами криминалистической визуализации, отсутствует на рабочем месте. Иногда до момента передачи атакованной машины ему на проверку проходит несколько дней, а к тому времени атака уже закончилась. Неспособность действовать с той же или большей скоростью, что и угроза, заставляет защитников брать на себя функции эксперта, который собирает доказательства и устраняет последствия уже после того, как злоумышленник сделал все что хотел.
Живой анализ
В кибербезопасности экспертиза компьютера может обеспечить необходимый анализ угроз. Образы для экспертизы обычно создаются после инцидента безопасности (например, заражения вредоносным ПО) или нарушения правил использования (например, загрузки на устройство детской порнографии), причем создание образа выполняется таким образом, чтобы сохранить доказательства, не нарушив целостность данных на устройстве. Данные экспертизы могут помочь специалистам по безопасности узнать, в чем заключалась угроза и как она использовала уязвимости системы. Затем экспертиза может предоставить информацию, необходимую для разработки сигнатур, мер защиты и упреждающей блокировки.
Рекомендуемые меры безопасности и предосторожности при атрибуции
Рекомендации следует оценивать с учетом концепции атрибуции.
1. Привязывайте учетные записи к личности пользователей. Подтвердите личность человека, связанного с учетной записью, с помощью биометрических данных, идентификации, логических или физических доказательств или средств контроля доступа. (SA-12. Защита цепочки поставок | (14) Идентичность и прослеживаемость.).
Подходы к атрибуции
Организациям, разумеется, хочется знать, кто атакует их системы и сети и откуда это делается. Понятно, что иногда даже хочется предпринять ответные меры вплоть до взлома, чтобы узнать личность злоумышленника. Вот только они, всегда найдут способы скрыть свое имя посредством отрицания и обмана, внося в атрибуцию немалую неопределенность. Кроме того, история учит нас, что необходимость в определении личности исчезла. В обозримом будущем мир вряд ли объединится, поэтому кибератаки между государствами, скорее всего, никуда не денутся. Ну а пока мир во всем мире не наступил, приведенные далее подходы к атрибуции способны помочь вам определить, что вы можете сделать с киберконфликтами.
Определение источника угрозы (атрибуция)
Атрибуция в кибербезопасности - это анализ наблюдаемых доказательств для идентификации субъектов в киберпространстве. Доказательства могут принимать разные формы. Поведение злоумышленника, инструменты, методы, тактики, процедуры, возможности, мотивы, намерения и другая информация - все это позволяет сформировать полезный контекст и стимулирует реагирование на инциденты в области безопасности.
Рекомендуемые меры безопасности и предосторожности при работе с имплантатами
1. Рассмотрите возможность внесения неоднородности в цепочку поставок путем выделения, сегментации и разделения разных ее компонентов. Разнообразие цепочки поставок значительно снижает потенциальное влияние скомпрометированных компонентов. (SC-29. Неоднородность.).
Защита от имплантатов
Компании, которые будут пытаться оценить или проанализировать каждую систему в поисках следов преступления, скорее всего, запутаются в процессе управления цепочкой поставок. Более того, продвинутые злоумышленники, способные скомпрометировать цепочку поставок, скорее всего, научатся внедрять вредоносные функции в стандартную структуру системы, не добавляя ничего лишнего. Таким образом, только злоумышленник будет знать об имплантате, который будет добавлен в каждую систему. Возможно, в ходе инспекции компания даже обнаружит угрозу, но не сможет распознать ее. В этом и заключается масштаб проблемы - это все равно что пытаться найти призрак на Луне. Тем не менее для защиты организации от подобных имплантатов можно принять следующие меры.
Имплантаты
Корпоративный шпионаж и государственный шпионаж исторически основывался на агентах, которые выполняли долгосрочные миссии. Сегодняшние технологии порождают новые и более дешевые способы получения результатов, которые раньше можно было получить только с помощью людей. Предположим, что ваша организация много лет назад купила и установила в своей сети маршрутизатор иностранного производства и он отлично работает. Но в какой-то момент злоумышленник активирует установленный еще на заводе скрытый имплантат, обеспечивающий прямой доступ к важным системам и данным в обход всех фильтров и системы безопасности.
Рекомендуемые меры безопасности и предосторожности при внутренних угрозах
В некоторых случаях можно использовать рекомендации и принять меры безопасности, приведенные в стандарте NIST 800-53. Их следует оценивать с учетом концепции внутренних угроз. (Для получения дополнительной информации см. PM-12. Программа борьбы с внутренними угрозами.).
Новый подход к внутренним угрозам
Компании, которые регулярно проверяют сотрудников и пытаются поймать их на месте преступления, уже опоздали. Упреждающий события подход заключается в создании такой рабочей среды, условия в которой не способствуют появлению внутренних угроз. Далее приведены некоторые предложения, позволяющие нивелировать некоторые типы угроз.
Внутренние угрозы
Внутренняя угроза - это сотрудник, пользователь или другой внутренний ресурс, действия которого могут намеренно или случайно нанести вред организации.
Рекомендуемые меры безопасности и предосторожности при применении социальной инженерии
1. Поскольку системы безопасности и средства контроля могут защищать информацию лишь в пределах определенных границ, нужно реализовать меры безопасности, которые не позволяют информации и системам выходить за эти границы и попадать в руки социальных инженеров. (AC-3. Обеспечение доступа | (9) Контролируемый выпуск; PE-3. Контроль физического доступа | (2) Границы объекта / информационной системы; SC-7. Граничная защита.).
Защита от социальной инженерии
В большинстве организаций проводят тренинги по социальной инженерии и регулярные фиш-тесты сотрудников. Эта стратегия, разумеется, повышает устойчивость к атакам, но все же многие сотрудники проваливают тесты. К сожалению, в большинстве организаций сотрудники уязвимы к социальной инженерии, поэтому нужно прикладывать больше усилий, чтобы дать им инструменты, необходимые для защиты от такого обмана.
Социальная инженерия
В сфере кибербезопасности социальная инженерная в основном применяется шпионами, действующими на территории врага, и основана на доверчивости цели. Рассмотрим примеры типичных атак социальной инженерии.
Рекомендуемые меры безопасности и предосторожности для улучшения физической защиты информации
Рекомендации следует оценивать с учетом концепции замков.
1. Храните бумажные файлы, магнитные ленты, жесткие диски, флеш-накопители, диски и другие физические носители в закрытых контейнерах и контролируйте их неприкосновенность. (MP-4. Хранение носителей; MP-5. Транспортировка носителей.).
Улучшение замков
Предотвратить абсолютно любой взлом, вероятно, невозможно. Но есть множество превентивных действий, которые вы можете предпринять, чтобы повысить надежность замков. Улучшение замков напрямую связано с кибербезопасностью, так как защищает от атак физического доступа к вашим системам.
Дополнения от 29.06.2025 к практике по делам о банкротстве в 14-м арбитражном апелляционном суде
Петухов Олег Анатольевич, юрист, 8-929-527-81-33, 8-921-234-45-78, online@legascom.ru
Постановление Четырнадцатого арбитражного апелляционного суда от 11.06.2025 N 14АП-1891/2025 по делу N А05-11121/2024
Требование: Об отмене определения о частичном включении требований в реестр требований кредиторов должника.
