Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Статьи

Работа оператора

Обновлено 07.07.2025 05:32

Во время взлома Национального комитета Демократической партии (Democratic National Committee) в 2016 году российские ГРУ (также известное как APT28, или FANCYBEAR) и ФСБ (APT29, или COZYBEAR) работали в одной сети и системах, не используя позывные для общения друг с другом. Из-за этого деятельность потребовала вдвое больших усилий и привела к возникновению наблюдаемых аномалий и других признаков взлома в атакуемой сети, что, вероятно, способствовало провалу обеих операций [21]. Отсутствие коммуникации, которое, видимо, было вызвано недружественными отношениями этих организаций, дает повод для размышлений. 

Подробнее...

Рекомендуемые меры безопасности и предосторожности при работе со связью

Обновлено 07.07.2025 05:29

1. Внедрите на уровне систем, границ сети и точек выхода из нее меры безопасности, позволяющие находить признаки кражи данных. Это может быть блокировка зашифрованных туннелей, которые ваши датчики не могут перехватить, а также поиск доказательств применения несанкционированных протоколов, форматов данных, водяных знаков, меток данных и больших файлов или потоков, покидающих сеть. (AC-4. Сопровождение информационного потока | (4) Проверка содержимого зашифрованной информации; SC-7. Граничная защита | (10) Предотвращение эксфильтрации; СИ-4. Системный мониторинг | (10) Видимость зашифрованных сообщений.). 

Подробнее...

Управление командами

Обновлено 07.07.2025 05:27

Организации часто подписываются на рассылку нескольких индикаторов угроз. По этим рассылкам компания регулярно получает вредоносные URL-адреса, IP-адреса и домены, замеченные в работе в качестве C2. Получив информацию, организация начнет предупреждать и/или блокировать эти угрозы в своих брандмауэрах и устройствах безопасности. Это хорошая отправная точка для создания защиты от C2, но в мире появляется бесконечное количество новых URL-адресов, IP-адресов и доменов, позволяющих злоумышленникам использовать новые идентификаторы и обходить защиту. Для решения проблем C2 необходим как старый, так и новый подход, некоторые из них предлагаются далее. 

Подробнее...

Управляющая связь

Обновлено 06.07.2025 06:41

 

Обычно вредоносные программы не могут быть полностью независимыми и автономными. Если бы это было так, вредоносное ПО было бы тяжеловесным, сложным, подозрительным и видимым для защитников. Большинству вредоносных программ во время работы требуется возможность получать указания, поэтому злоумышленники используют метод, называемый «командование и управление» (command and control, сокращенно C2, CnC или C&C), с помощью которого связываются с вредоносными программами, бэкдорами, имплантатами и скомпрометированными системами в атакованной сети. 

Подробнее...

Рекомендуемые меры безопасности и предосторожности при кибератаках

Обновлено 06.07.2025 06:38

 

Рекомендации следует оценивать с учетом концепции пожарных атак.

1. Мониторьте индикаторы деструктивных действий в своей организации. Предотвратите взлом журналов системного мониторинга, событий аудита и данных с датчиков путем пересылки данных в сегментированные сборщики событий. (AU-6. Аудиторский обзор, анализ и отчетность | (7) Разрешенные действия; AU-9. Защита аудиторской информации; SI-4. Системный мониторинг.). 

Подробнее...

Защита от киберпожаров

Обновлено 06.07.2025 06:36

 

Для компаний обычным делом является страхование от пожаров и одновременная реализация стратегий их предотвращения и локализации. Однако по какой-то причине некоторые компании покупают киберстраховку, но не принимают мер защиты от кибератак. Возможно, они не видят в кибератаках такой опасности, как от настоящего пожара, при котором на карту поставлено имущество и даже человеческие жизни. Но с развитием технологий интернета вещей (IoT) тесное сближение физического мира с киберпространством будет способствовать росту рисков. Принятие описанных далее защитных мер может быть чрезвычайно полезно для вашей компании. 

Подробнее...

Деструктивные кибератаки

Обновлено 05.07.2025 05:08

 

Как только компьютеры научились соединяться и общаться друг с другом, тут же появились самораспространяющиеся вирусы и черви. Деструктивные атаки со временем начали происходить все чаще. Атака на сеть одной организации может распространяться быстро, словно пожар, уничтожая системы и данные в интернете. Учитывая растущее число связей между системами в киберпространстве, а также пробелы в их безопасности, любая сеть или машина, подключенная к интернету и не имеющая надлежащих средств защиты, фактически просто стоит и ждет, когда ее подожгут. 

Подробнее...

Рекомендуемые меры безопасности и предосторожности при защите от угроз в реальном времени

Обновлено 05.07.2025 05:05

 

1. Ограничьте применение внешних систем и компонентов в организации, если у вас нет разрешения или возможностей проводить по ним экспертизу. (AC-20. Использование внешних систем | (3) Системы и компоненты, не принадлежащие организации.). 

Подробнее...

Защита от угроз в реальном времени

Обновлено 05.07.2025 05:02

 

Организации часто сталкиваются с инцидентами безопасности именно в тот момент, когда единственный человек, способный работать с инструментами криминалистической визуализации, отсутствует на рабочем месте. Иногда до момента передачи атакованной машины ему на проверку проходит несколько дней, а к тому времени атака уже закончилась. Неспособность действовать с той же или большей скоростью, что и угроза, заставляет защитников брать на себя функции эксперта, который собирает доказательства и устраняет последствия уже после того, как злоумышленник сделал все что хотел. 

Подробнее...

Живой анализ

Обновлено 04.07.2025 05:40

В кибербезопасности экспертиза компьютера может обеспечить необходимый ана­лиз угроз. Образы для экспертизы обычно создаются после инцидента безопасности (например, заражения вредоносным ПО) или нарушения правил использования (на­пример, загрузки на устройство детской порнографии), причем создание образа вы­полняется таким образом, чтобы сохранить доказательства, не нарушив целостность данных на устройстве. Данные экспертизы могут помочь специалистам по безопас­ности узнать, в чем заключалась угроза и как она использовала уязвимости системы. Затем экспертиза может предоставить информацию, необходимую для разработки сигнатур, мер защиты и упреждающей блокировки. 

Подробнее...

Рекомендуемые меры безопасности и предосторожности при атрибуции

Обновлено 04.07.2025 05:37

Рекомендации следует оценивать с учетом концепции атрибуции.

1. Привязывайте учетные записи к личности пользователей. Подтвердите лич­ность человека, связанного с учетной записью, с помощью биометрических данных, идентификации, логических или физических доказательств или средств контроля доступа. (SA-12. Защита цепочки поставок | (14) Идентич­ность и прослеживаемость.). 

Подробнее...

Подходы к атрибуции

Обновлено 04.07.2025 05:34

Организациям, разумеется, хочется знать, кто атакует их системы и сети и откуда это делается. Понятно, что иногда даже хочется предпринять ответные меры вплоть до взлома, чтобы узнать личность злоумышленника. Вот только они, всегда найдут способы скрыть свое имя посредством отрицания и обмана, внося в атрибу­цию немалую неопределенность. Кроме того, история учит нас, что необходимость в определении личности исчезла. В обозримом будущем мир вряд ли объединится, поэтому кибератаки между государствами, скорее всего, никуда не денутся. Ну а пока мир во всем мире не наступил, приведенные далее подходы к атри­буции способны помочь вам определить, что вы можете сделать с киберконфликтами. 

Подробнее...

Определение источника угрозы (атрибуция)

Обновлено 03.07.2025 05:28

Атрибуция в кибербезопасности - это анализ наблюдаемых доказательств для идентификации субъектов в киберпространстве. Доказательства могут принимать разные формы. Поведение злоумышленника, инструменты, методы, тактики, про­цедуры, возможности, мотивы, намерения и другая информация - все это позво­ляет сформировать полезный контекст и стимулирует реагирование на инциденты в области безопасности. 

Подробнее...

Рекомендуемые меры безопасности и предосторожности при работе с имплантатами

Обновлено 03.07.2025 05:25

1. Рассмотрите возможность внесения неоднородности в цепочку поставок путем выделения, сегментации и разделения разных ее компонентов. Раз­нообразие цепочки поставок значительно снижает потенциальное влияние скомпрометированных компонентов. (SC-29. Неоднородность.). 

Подробнее...

Защита от имплантатов

Обновлено 03.07.2025 05:21

Компании, которые будут пытаться оценить или проанализировать каждую систему в поисках следов преступления, скорее всего, запутаются в процессе управления цепочкой поставок. Более того, продвинутые злоумышленники, способные ском­прометировать цепочку поставок, скорее всего, научатся внедрять вредоносные функции в стандартную структуру системы, не добавляя ничего лишнего. Таким об­разом, только злоумышленник будет знать об имплантате, который будет добавлен в каждую систему. Возможно, в ходе инспекции компания даже обнаружит угрозу, но не сможет распознать ее. В этом и заключается масштаб проблемы - это все равно что пытаться найти призрак на Луне. Тем не менее для защиты организации от подобных имплантатов можно принять следующие меры. 

Подробнее...

Имплантаты

Обновлено 02.07.2025 06:07

Корпоративный шпионаж и государственный шпионаж исторически основывался на агентах, которые выполняли долгосрочные миссии. Сегодняшние технологии порождают новые и более дешевые способы получения результатов, которые раньше можно было получить только с помощью людей. Предположим, что ваша организация много лет назад купила и установила в своей сети маршрутизатор иностранного производства и он отлично работает. Но в какой-то момент злоумышленник активирует установленный еще на заводе скрытый имплантат, обеспечивающий прямой доступ к важным системам и данным в обход всех фильтров и системы безопасности. 

Подробнее...

Рекомендуемые меры безопасности и предосторожности при внутренних угрозах

Обновлено 02.07.2025 06:05

В некоторых случаях можно использовать рекомендации и принять меры безопасности, приведенные в стандарте NIST 800-53. Их следует оценивать с учетом концепции внутренних угроз. (Для получения дополнительной информации см. PM-12. Программа борьбы с внутренними угрозами.). 

Подробнее...

Новый подход к внутренним угрозам

Обновлено 02.07.2025 06:02

Компании, которые регулярно проверяют сотрудников и пытаются поймать их на месте преступления, уже опоздали. Упреждающий события подход заключается в создании такой рабочей среды, условия в которой не способствуют появлению внутренних угроз. Далее приведены некоторые предложения, позволяющие нивелировать некоторые типы угроз. 

Подробнее...

Внутренние угрозы

Обновлено 01.07.2025 05:55

Внутренняя угроза - это сотрудник, пользователь или другой внутренний ресурс, действия которого могут намеренно или случайно нанести вред организации. 

Подробнее...

Рекомендуемые меры безопасности и предосторожности при применении социальной инженерии

Обновлено 01.07.2025 05:52

1. Поскольку системы безопасности и средства контроля могут защищать информацию лишь в пределах определенных границ, нужно реализовать меры безопасности, которые не позволяют информации и системам выходить за эти границы и попадать в руки социальных инженеров. (AC-3. Обеспечение доступа | (9) Контролируемый выпуск; PE-3. Контроль физического доступа | (2) Границы объекта / информационной системы; SC-7. Граничная защита.). 

Подробнее...