Кибербезопасность — мир экспертов и преступников

Лекция 1 Кибербезопасность — мир экспертов и преступников В 60-е годы, когда в мире появились первые хакеры, большинство из них были любителями компьютеров, программистами и студентами. Первоначально термин хакер использовался в отношении людей с хорошими навыками программирования. Хакеры использовали навыки программирования для проверки ограничений и возможностей существовавших тогда систем. Ранние хакеры также участвовали в разработке ранних компьютерных игр. Многие из этих игр включали тему магии и волшебства. По мере развития хакерская культура вбирала в себя лексикон этих игр. В связи с неправильным пониманием хакерской культуры люди, не принадлежащие к ней, начали приписывать хакерам способности могучих волшебников. Книги, такие как опубликованная в 1996 году «Там, где волшебники ложатся спать поздно: происхождение Интернета» (Where Wizards Stay up Late: The Origins of The Internet), добавляли загадочности таинственной хакерской культуре. Образы и лексикон укоренились. Многие сегодняшние хакерские группы используют эти образы. Одна из самых знаменитых хакерских групп называла себя «Легион судьбы» (Legion of Doom). Знание и понимание киберкультуры важны для понимания киберпреступников и их мотивации. В шестом веке до нашей эры жил известный китайский философ и воин Сунь-Цзы. Сунь-Цзы написал книгу под названием «Искусство войны», которая считается классическим трудом о стратегиях победы над врагом. Указания, изложенные в книге, тактики и стратеги использовали на протяжении веков. Знание врага было одним из основных принципов Сунь-Цзы. Хотя книга была посвящена войнам, большая часть его советов применима и к другим аспектам жизни, включая проблемы кибербезопасности. Эта глава начинается с описания структуры мира кибербезопасности и объяснения причин, по которым он продолжает расти. Далее в этой главе обсуждается роль киберпреступников и их мотивация. Наконец, глава объясняет, как стать специалистом по кибербезопасности. Специалисты кибербезопасности помогают победить киберпреступников, которые представляют собой угрозу стабильности кибермира. Обзор уровней обеспечения кибербезопасности Существует множество групп данных, которые составляют различные домены кибермира. Когда группы имеют возможность собирать и использовать большие объемы данных, они начинают приобретать власть и влияние. Данные могут быть в виде чисел, изображений, видео, аудио или представлять собой данные любого типа, которые могут быть оцифрованы. Группы могут стать настолько влиятельными, что становятся силой сами по себе и создают отдельные уровни обеспечения кибербезопасности. Такие компании, как Google, Facebook и LinkedIn, могут считаться доменами данных в кибермире. Если продолжить развивать аналогию, люди, работающие в этих компаниях, могут считаться экспертами по кибербезопасности. Слово «домен» имеет много значений. Любую область, в которой присутствует контроль, полномочия или защита, можно рассматривать как домен. Представьте, как дикое животное защищает свой территорию (или домен в данном контексте). В этом курсе мы рассматриваем домены как территорию, которую следует защищать. Она может иметь логические или физические границы. Это зависит от размера системы. Эксперты по кибербезопасности должны защищать свои домены согласно законам своей страны. Примеры уровней обеспечения кибербезопасности Специалисты Google создали один из первых и самых мощных доменов в рамках кибермира Интернета. Миллиарды людей каждый день используют Google для поиска информации в Интернете. Вероятно, Google создала крупнейшую в мире инфраструктуру по сбору данных. Google разработала Android, операционную систему, которая установлена на более чем 80 % мобильных устройств, подключенных к Интернету. Для использования устройства пользователю необходимо создать учетную запись Google, в которой сохраняются закладки и данные учетной записи, результаты поиска и с помощью которой можно даже определять местонахождение устройства. Щелкните здесь, чтобы увидеть некоторые из многочисленных сервисов, которые в настоящее время предлагает Google. Facebook — еще один мощный домен в обширном пространстве Интернета. Специалисты Facebook выяснили, что люди создают персональные учетные записи для того, чтобы каждый день общаться с семьей и друзьями. Поступая таким образом, вы добровольно предоставляете большое количество личных данных. Специалисты Facebook построили крупный домен данных, позволяющий людям общаться такими способами, которые были просто немыслимы в прошлом. Ежедневно Facebook оказывает воздействие на миллионы жизней и дает возможность организациям и компаниям взаимодействовать с людьми более персональным и целенаправленным образом. LinkedIn — это еще один домен данных в Интернете. Специалисты LinkedIn установили, что ее участники будут обмениваться информацией в стремлении создать сеть профессиональных контактов. Пользователи LinkedIn предоставляют информацию для создания онлайн-профилей и общения с другими участниками социальной сети. LinkedIn дает возможность сотрудникам находить работодателей, а компаниям — партнеров в разных точках мира. Между LinkedIn и Facebook есть большое сходство. Если взглянуть на эти домены изнутри, можно увидеть, как они построены. На фундаментальном уровне домены приобретают свою силу благодаря способности собирать пользовательские данные, предоставляемые самими пользователями. Данные часто включают в себя биографические данные пользователей, дискуссии, предпочтения, посещенные места, путешествия, интересы, друзей и членов семьи, профессию, хобби и рабочий график. Для организаций, заинтересованных в том, чтобы более эффективно взаимодействовать с заказчиками и сотрудниками, такая информация имеет большую ценность. Рост кибердоменов Данные из Интернета включают в себя значительно больше сведений, чем только те, которые пользователи предоставляют добровольно. По мере развития науки и технологий кибердомены продолжают расти, что позволяет специалистам и их работодателям (Google, Facebook, LinkedIn и т. д.) собирать множество других видов данных. В настоящее время киберэксперты имеют технологии для прогнозирования погоды во всем мире, мониторинга океанов, а также отслеживания движения и поведения людей, животных и объектов в режиме реального времени. Появились новые технологии, такие как геопространственные информационные системы (ГИС) и Интернет вещей (IoT). Эти новые технологии могут отслеживать, насколько хорошо растут деревья в районе. Они могут предоставить данные о текущем местоположении транспортных средств, устройств, людей и материалов. Информация такого типа может экономить энергию, повысить эффективность и уменьшить риски в сфере обеспечения безопасности. Каждая из этих технологий также ведет к экспоненциальному росту объема данных, которые собираются, анализируются и используются для расширения знаний об окружающем мире. Данные, собираемые ГИС и Всеобъемлющим Интернетом (IoE), несут в себе огромную проблему для специалистов по кибербезопасности в будущем. Потенциально типы данных, генерируемых этими устройствами, могут позволить киберпреступникам получить доступ к очень интимным аспектам повседневной жизни. Кто такие киберпреступники? В начале возникновения мира кибербезопасности типичными киберпреступниками были подростки или любители, использующие домашний ПК, чьи атаки ограничивались главным образом шалостями и вандализмом. Сегодняшний мир киберпреступников более опасен. Сети атакуют отдельные хакеры или группы, которые пытаются использовать уязвимости для личной или финансовой выгоды. Киберпреступники заинтересованы во всем, что имеет ценность: от кредитных карт до образцов продукции. Непрофессионалы Непрофессионалы или «скрипт-кидди» имеют мало навыков или не имеют их вообще и для атак часто используют существующие инструменты или инструкции, найденные в Интернете. Некоторые из них делают это из любопытства, другие пытаются продемонстрировать свои навыки и нанести вред. Несмотря на то что они используют базовые инструменты, результат все равно может быть опустошительным. Хакеры Эта группа преступников проникает в компьютеры или сетевые инфраструктуры по разным причинам. Согласно причинам взлома хакеры классифицируются как «белые», «серые» или «черные». «Белые» хакеры используют свои навыки программирования в законных целях и проникают в сетевую инфраструктуру или компьютерные системы с целью обнаружения уязвимостей и повышения безопасности этих систем. Взлом осуществляется с разрешения владельцев системы, а затем владельцы системы получают результаты теста. Они сообщают об уязвимостях безопасности разработчикам для исправления уязвимостей. «Черные» хакеры нарушают компьютерную и сетевую безопасность в целях личной выгоды или для нанесения вреда. Они используют уязвимости для незаконного получения личной, финансовой или политической выгоды. «Серые» хакеры находятся где-то посередине между «белыми» и «черными» хакерами. Они совершают преступления и неэтичные поступки в личных целях или стремлении нанести ущерб. Но «Серые» хакеры могут находить уязвимости и сообщать о них владельцам системы, если подобное действие согласуется с их планами. Некоторые «серые» хакеры публикуют информацию об уязвимостях в Интернете, чтобы другие злоумышленники могли использовать ее. Организованные хакеры Включают организации киберпреступников, хактивистов, террористов и хакеров, спонсируемых государством. Киберпреступники, как правило, представляют собой группы профессиональных преступников, нацеленных на власть и богатство. Преступники изощрены и хорошо организованы и могут даже предлагать совершение киберпреступлений в качестве услуги. Хактивисты делают политические заявления по вопросам, которые важны для них, чтобы привлечь к ним внимание. Хактивисты делают публично доступной компрометирующую информацию о своих жертвах. Спонсируемые государством хакеры собирают разведывательные данные или совершают акты саботажа от имени своего правительства. Такие киберпреступники, как правило, хорошо обучены и хорошо финансируются. Их атаки направлены на конкретные цели, которые выгодны для их правительства. Некоторые хакеры, спонсируемые государством, даже служат в вооруженных силах своей страны. Мотивы киберпреступников С течением времени профили и мотивы киберпреступников изменились. Хакерство началось в 60-е годы со взлома телефонных аппаратов (или фрикинга), который заключался в использовании различных звуковых частот для манипулирования телефонными системами. В середине 80-х преступники использовали компьютерные коммутируемые модемы для подключения компьютеров к сетям и программы для взлома паролей для получения доступа к данным. В настоящее время преступники не просто крадут информацию. Они используют вредоносные программы и вирусы как высокотехнологичное оружие. Однако самой сильной мотивацией для большинства киберпреступников является финансовая выгода. Киберпреступления стали более прибыльными, чем незаконная торговля наркотиками. Общие профили и мотивы хакеров в достаточной степени изменились Хакеры-делитанты – термин относится к подросткам или неопытным хакерам, котореы используют существующие сценарии, инструменты и эксплойты для причинения вреда. (Экспло́ит (англ. exploit, эксплуатировать) — компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему. Целью атаки может быть как захват контроля над системой (повышение привилегий), так и нарушение её функционирования (DoS-атака).Обычно нарушения не имеют цель получение прибыли. Существуют еще одна группа хакеров (брокеры уязвимостей) – это обычно серые хакеры, которые пытаются обнаружить уязвимости, сообщить о них и продать за вознаграждение. Хактевисты (хакеры – активисты) – это «серый « хакеры, которые поддерживают какие-либо политические и социальные идея и протестуют против них. Они протестуют против организаций и правительств, публикуя статьи, выпуская видеоролики, организуют утечку конфиденциальной информации и совершая распределенные атаки типа «Отказ в обслуживании» Киберпреступники – «черные» хакеры, которые работают либо на себя, либо на большую преступную организацию. Они ежегодно крадут миллиарды долларов у потребителей и организаций. Хакеры, спонсируемые государством - это «черные» или «белые» хакеры, которые занимаются кражей государственных секретов, сбором разведывательных данных и саботажем сетевых инфраструктур. Их целью являются иностранные правительства, террористические группы и предприятия. Зачем становиться специалистом по кибербезопасности? Спрос на специалистов по кибербезопасности вырос больше, чем спрос на других ИТ-специалистов. Все технологии, которые преобразуют мир и улучшают жизни людей, также повышают уязвимость пользователей для атак. Технология сама по себе не может предотвратить, выявить, принять меры и восстановить систему после инцидента информационной безопасности. Примите во внимание следующие тенденции. • Уровень навыков, необходимых специалисту по кибербезопасности для эффективной работы, и нехватка квалифицированных специалистов по кибербезопасности свидетельствуют о потенциально высоких доходах. • Информационные технологии непрерывно изменяются. Это также относится и к кибербезопасности. Высокодинамичный характер сферы кибербезопасности делает ее как сложной, так и увлекательной областью. • Специалист по кибербезопасности также должен быть очень мобильным. Рабочие места существуют почти в каждом географическом регионе. • Специалисты по кибербезопасности предлагают услуги, необходимые для организаций, стран и учреждений, таких как правоохранительные органы или аварийные службы. Карьера специалиста по кибербезопасности очень перспективна Противодействие киберпреступникам Расстроить планы киберпреступников — трудная задача, и здесь нет простого решения. Компании, правительства и международные организации начали принимать скоординированные меры по сдерживанию киберпреступников. Скоординированные действия: • Создание всеобъемлющих баз данных известных уязвимостей систем и сигнатур атак (уникальное расположение информации, применяемое для идентификации попытки злоумышленника использовать известные уязвимости). Организации обмениваются такими базами данных на международном уровне для помощи в подготовке ко многим распространенным атаками и сдерживании их. Базы данных уязвимостей – национальная база данных общих уязвимостей и рисков (Nation Common Vulnerabilities and Exprosures, CVE), созданная в США и является общедоступной и содержит все уязвимости. Сайт – http://www.cvedetails.com. Российский аналог базы данных уязвимостей – банк данных угроз и уязвимостей ФСТЭК России. Сайт – http://bdu.fstec.ru/ • Создание системы раннего предупреждения и оповещения сетевых инфраструктур. Вследствие высокой стоимости и невозможности проводить мониторинг каждой сети, организации отслеживают очень ценные цели или создают «подсадных уток», которые выглядят очень ценными. Поскольку вероятность атаки на такие очень ценные цели является самой высокой, с их помощью можно получать предупреждения о других потенциальных атаках. Примером систем раннего предупреждения являестя система, созданная в рамках инициативы Honeynet Project. Проект опубликовал карту HoneyMap, на которой отображены атаки в реальной времени. Сайт – https://www.honeynet.org/node/960. В Россиии - аналог https://cybermap.kaspersky.com/, https://securelist.ru/statistics/ и другие Обмен результатами аналитики киберугроз Компании, правительственные агентства и страны теперь обмениваются важнейшей информацией о серьезных атаках на критические цели с целью предотвращения подобных атак в других местах. Многие страны создали агентства киберразведки в целях борьбы с серьезными кибератаками на международном уровне. Примером организации распространения киберразведовательной информации в США является программа InfraGard. Участники этой программы (силовые ведомства, правительство и частный сектор) обмениваются информацией и аналитическими данными для предотвращения кибератак. Сайт – https://www.infragard.org. В России аналог – программа ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) • Установление стандартов управления безопасностью среди национальных и международных организаций. ISO 27000 является хорошим примером таких международных действий. Стандарты обеспечивают основу для реализации архитектуры обеспечения информационной безопаснгости внутри организации. Сайт – http://www.27000.org/ • Принятие новых законов для предотвращения кибератак и утечек данных. Такие законы предусматривают суровые наказания для киберпреступников, уличенных в совершении незаконных действий. Типовые угрозы для конечных пользователей Как описывалось ранее, некоторые эксперты являются дальновидными новаторами. Они создают в Интернете различные кибердомены. Они умеют видеть власть данных и использовать ее. Затем они создают организации и предоставляют услуги, а также защищают людей от кибератак. В идеале специалисты по кибербезопасности должны определять угрозы, которые несут в себе данные, будучи использованными против людей. Угрозы и уязвимости являются главной заботой профессионалов в области кибербезопасности. Две ситуации являются особенно важными. • Когда угроза открывает возможность возникновения вредоносного события, такого как атака. • Когда уязвимость делает цель восприимчивой к атаке. Например, попадание данных в чужие руки может привести к вмешательству в частную жизнь владельцев данных, повлиять на их репутацию или поставить под угрозу их карьеру или личные отношения. Кражи идентификационных данных — это большой бизнес. Однако наибольшие риски не обязательно связаны с такими компаниями, как Google и Facebook. Еще большие риски несут в себе школы, больницы, финансовые учреждения, правительственные агентства, электронная коммерция и рабочее место. Такие организации, как Google и Facebook, имеют ресурсы, чтобы нанять для защиты своих доменов самых лучших специалистов по кибербезопасности. По мере того как все больше организаций создают крупные базы данных, содержащие наши личные данные, увеличивается потребность в специалистах по кибербезопасности. Таким образом меньшим предприятиям и организациям приходится конкурировать за оставшийся резерв специалистов по кибербезопасности. Киберугрозы особенно опасны для некоторых отраслей промышленности и данных, которые они используют. Типы персональных данных В следующих примерах приведены лишь некоторые типы данных, которые могут поступать из существующих организаций. Медицинские записи В результате посещения врача в электронную медицинскую карту (ЭМК) было добавлено больше информации. Рецепт, выписанный врачом, становится частью ЭМК. ЭМК включает данные о физическом здоровье, психическом здоровье и другие личные сведения, которые могут быть не связаны с медициной. Например, в детстве человек проходил консультирование из-за существенных изменений в семье. Это будет занесено в его или ее медицинскую карту. Помимо медицинской истории и личной информации, ЭМК может также включать информацию о семье пациента. Существуют законы, защищающие медицинскую карту пациента. Медицинские устройства, такие как фитнес-браслеты, используют облачную платформу для беспроводной передачи, хранения и отображения медицинских данных, таких как частота сердцебиения, давление и уровень сахара в крови. Такие устройства могут генерировать большое количество медицинских данных, которые могут быть включены в медицинскую карту. Записи об образовании Данные об образовании включают информацию о законченных классах, результаты тестов, посещаемость, курсы, награды, дипломы и дисциплинарные отчеты. Они также могут включать контактную информацию, медицинские данные и данные о вакцинации, данные о специальном образовании, включая программы индивидуального обучения. Записи в трудовой книжке и финансовые записи Сведения о трудоустройстве могут включать данные о последнем месте работы и производительности. Сведения о трудоустройстве могут также включать информацию о зарплате и страховании. Финансовые данные могут включать информацию о доходах и расходах. Налоговые данные могут включать квитанции о начислении заработной платы, выписки по кредитной карте, кредитный рейтинг и банковскую информацию. Угрозы Интернет-сервисам Для работы сетевой инфраструктуры, а также Интернета необходимо много базовых технических сервисов. Эти сервисы охватывают маршрутизацию, адресацию, систему доменных имен и управление базами данных. Эти сервисы также служат главной мишенью для киберпреступников. Преступники используют анализаторы пакетов для захвата потоков данных в сетевой инфраструктуре. Это означает, что все конфиденциальные данные, такие как имена пользователей, пароли и номера кредитных карт, подвергаются риску. Анализаторы пакетов отслеживают и записывают всю информацию, передаваемую по сети. Преступники могут также использовать неавторизованные точки доступа, например незащищенные точки доступа Wi-Fi. Если преступник устанавливает ее возле общественного места, например кофейни, ничего не подозревающие люди могут подключиться к ней и анализатор пакета скопирует их личную информацию. Служба доменных имен (DNS) переводит имя домена, например www.facebook.com, в числовой IP-адрес. Если DNS-сервер не знает IP-адрес, он отправит запрос другому DNS-серверу. Посредством имитации доменного имени (DNS-подмены или отравления кэша DNS) преступник вводит ложные данные в кэш распознавателя DNS. Такие атаки используют уязвимости в программном обеспечении DNS и заставляют DNS-серверы перенаправлять трафик определенного домена на компьютер преступника вместо направления его законному владельцу домена. Пакеты передают данные по сети или через Интернет. Подделка пакетов (или инъекция пакетов) влияет на установленные сетевые коммуникации, создавая пакеты, похожие на части сообщений. Подделка пакетов позволяет преступнику разрушать или перехватывать пакеты. Таким образом преступник может взломать авторизованное подключение или лишить пользователя доступа к определенным сетевым службам. Специалисты по кибербезопасности называют такую атаку атакой посредника или атакой через посредника. Эти примеры только поверхностно охватывают типы угроз, которые преступники могут использовать против сетевых сервисов и сервисов Интернета Угрозы ключевым отраслям промышленности Ключевые отрасли предлагают системы сетевой инфраструктуры, такие как производство, энергетика, связь и транспорт. Например, smart grid (интеллектуальная энергосеть) — усовершенствованная система производства и распределения электричества. Электросеть передает электричество от центральных генераторов большому числу потребителей. Интеллектуальная энергосеть использует данные для создания автоматизированной сети доставки энергии. Мировые лидеры признают, что защита их инфраструктуры имеет решающее значение для защиты их благополучия. За последнее десятилетие такие кибератаки, как Stuxnet, доказали, что способны уничтожить или прервать работу критически важных инфраструктур. Конкретно атака Stuxnet была направлена на систему диспетчерского управления и сбора данных (SCADA), используемую для контроля и мониторинга промышленных процессов. SCADA может быть частью различных промышленных процессов в системах производства, производства, энергетики и коммуникации. Щелкните здесь, чтобы просмотреть дополнительную информацию об атаке Stuxnet. Кибератака может подорвать или прервать работу таких промышленных секторов, как телекоммуникации, транспорт или производство и распределение электроэнергии. Она также может прервать работу сектора финансовых услуг. Одна из проблем для сред, которые включают SCADA, заключается в том, что разработчики не подключают SCADA к традиционной ИТ-среде и Интернету. Таким образом на этапе разработки этих систем кибербезопасности не уделяется должного внимания. Как и компании других отраслей промышленности, организации, использующие системы SCADA, признают пользу сбора данных в контексте улучшения операций и снижения расходов. В результате появляется тенденция подключения систем SCADA к традиционным ИТ-системам. Однако при этом возрастает уязвимость отраслей промышленности, использующих системы SCADA. Для устранения сложных угроз, потенциал для появления которых существует сегодня, требуются эксперты по кибербезопасности со специальными навыками. Угрозы образу жизни людей Целью кибербезопасности является непрерывная защита сетевых систем и данных от несанкционированного доступа. Каждый человек должен защищать свою личность, данные и вычислительные устройства. На корпоративном уровне сотрудники отвечают за защиту репутации, данных и заказчиков. На государственном уровне на карту поставлена национальная безопасность, защита и благополучие граждан. В целях идентификации и сбора данных специалисты по кибербезопасности часто сотрудничают с правительственными агентствами. Агентство национальной безопасности США (NSA) отвечает за наблюдение и сбор разведывательных данных. Оно построило новый центр обработки данных только для того, чтобы обрабатывать растущие объемы информации. В 2015 году Конгресс США принял Закон о свободе (полное название — «Об объединении и укреплении государства путем соблюдения прав человека, прекращения сбора персональных данных, передаваемых по сетям электросвязи, запрета на отслеживание перемещения граждан и отмены упрощенного порядка получения ордеров на сбор такой информации органами национальной безопасности США»), положивший конец практики массовой записи телефонных разговоров граждан США. Программа предоставляет метаданные, с помощью которых NSA получает информацию об отправленных и полученных сообщениях. Усилия, направленные на обеспечение определенного уровня жизни людей, часто противоречат их праву на неприкосновенность частной жизни. Будет интересно посмотреть, как будет поддерживаться баланс между этими правами и безопасностью пользователей Интернета. Лабораторная работа. Идентификация угроз В этой лабораторной работе вы будете изучать угрозы, исходящие от киберпреступников, и определять качества и навыки, необходимые для того, чтобы стать специалистом по кибербезопасности. Из фстэка Внутренние и внешние угрозы Внутренние угрозы безопасности Атаки могут происходить как изнутри, так и снаружи организации, как показано на рисунке. Внутренние пользователи, такие как сотрудники или партнеры, могут случайно или преднамеренно: • неправильно обращаться с конфиденциальными данными; • поставить под угрозу работу внутренних серверов и сетевых устройств инфраструктуры; • облегчить проведение внешних атак путем подключения зараженных USB-устройств к корпоративной компьютерной системе; • случайно открыть доступ вредоносным программ в сеть посредством открытия вредоносного сообщения электронной почты или веб-сайта. Повреждения, вызванные действиями внутренних пользователей, обладающих прямым доступом к зданию и его инфраструктуре, могут оказаться значительно выше, чем от внешних угроз. Внутренние киберпреступники, как правило, обладают сведениями о корпоративной сети, ее ресурсах и конфиденциальных данных. Они также могут знать о средствах противодействия угрозам безопасности, политиках и обладать высоким уровнем административных прав. Внешние угрозы безопасности Внешние угрозы от любителей или опытных киберпреступников могут использовать уязвимости в сетевых устройствах или социальную инженерию, например обман, чтобы получить доступ. Для доступа к внутренним ресурсам используются уязвимости. Традиционные данные Корпоративные данные включают кадровую информацию, интеллектуальную собственность и финансовые данные. Кадровая информация включает в себя заявки о приеме на работу, фонд заработной платы, письма с предложениями, трудовые договоры и любую информацию, используемую при принятия решений о найме сотрудников. Интеллектуальная собственность, такая как патенты, товарные знаки и планы о разработке новой продукции, дает компании экономическое преимущество над конкурентами. Интеллектуальную собственность можно рассматривать как коммерческую тайну; потеря этой информации может иметь катастрофические последствия для будущего компании. Финансовые данные, например декларации о доходах, балансы и отчеты о денежных потоках, дают представление о благосостоянии компании. Уязвимости мобильных устройств В прошлом сотрудники обычно пользовались компьютерами компании, подключенными к корпоративной локальной сети. Системные администраторы постоянно следили за работой этих компьютеров и обновляли их в рамках соблюдения требований безопасности. Сегодня мобильные устройства, такие как планшеты, iPhone и другие смартфоны и мобильные устройства, все чаще заменяют собой традиционные ПК или дополняют их. Все больше людей используют эти устройства для доступа к корпоративной информации. Широко распространяется модель BYOD. Организации, которые не могут централизованно управлять мобильными устройствами, использующимися сотрудниками для входа в корпоративную сетевую инфраструктуру, и обновлять ПО на них, подвергают себя растущей опасности. Появление Интернета вещей Интернет вещей (IoT) — набор технологий, которые позволяют подключать к Интернету различные устройства. Технологическая эволюция, связанная с появлением Интернета вещей, вносит изменения в коммерческую и потребительскую среды. Технологии Интернета вещей обеспечивают возможность подключения к Интернету миллиардов устройств. Среди них — программно-аппаратные комплексы, замки, двигатели, развлекательные устройства и так далее. Растут объемы данных, требующих защиты. Удаленный доступ к устройствам увеличивает количество сетевых инфраструктур, которые необходимо защищать. С развитием Интернета вещей управление и защита требуются растущему объему данных. Различные подключения в сочетании с расширенными размерами дискового пространства и сервисами хранения данных, которые стали доступны благодаря облаку и виртуализации, привели к экспоненциальному росту объемов данных. Такой рост данных создал новую область интереса к технологиям и бизнесу под названием «большой объем данных». Влияние больших данных Большие данные являются результатом больших и сложных наборов данных, для обработки которых возможностей традиционных приложений для обработки данных становится недостаточно. Связанные с большими данными возможности и проблемы основываются на трех факторах: • Объем данных • Скорость прироста и обработки данных • Разнообразие типов и источников данных Новости наводнены многочисленными примерами хакерских атак на крупные корпорации. Такие компании, как Target, Home Depot и PayPal, являются объектами атак, получающих наибольшую огласку. В результате требуется значительно менять структуру решений в области безопасности и усовершенствовать технологии и методы защиты корпоративных систем. Кроме того, появляются новые государственные и отраслевые правила и нормы в отношении больших данных, требующие улучшения защиты данных и средств контроля безопасности. Использование передового оружия Источником уязвимостей программного обеспечения сегодня являются ошибки программирования, уязвимости протоколов или некорректная конфигурация системы. Киберпреступники просто используют одну из них. Например, типичная атака включает в себя создание определенного потока данных на вход в программу для того, чтобы повредить ее и сделать неисправной. Эта неисправность является ключом для взлома программы или приводит к утечке информации из программы. Сегодняшние кибератаки становятся все более изощренными. Сложная целенаправленная угроза (APT) является продолжительной компьютерной атакой на конкретный объект, которая осуществляется незаметно. Преступники обычно выбирают цели для атаки по коммерческим или политическим мотивам. APT проводится в течение длительного периода с использованием продвинутых вредоносных программ и имеет высокую степень секретности. Алгоритмические атаки могут отслеживать данные, автоматически сообщаемые системой, например о потребляемой компьютером энергии, и использовать их для выбора целей или запуска ложных оповещений. Алгоритмические атаки также могут отключить компьютер посредством интенсивного использования его памяти или перегрузки его центрального процессора. Алгоритмические атаки считаются более изощренными, так как используют эксплойты, применяемые для экономии энергии, повышения отказоустойчивости системы и ее эффективности. Наконец, в атаках нового поколения используется интеллектуальный выбор жертв. В прошлом злоумышленники выбирали для атаки самые легкодоступные или наиболее уязвимые части системы. Однако сейчас, когда выявлению и изолированию кибератак уделяется больше внимания, киберпреступники должны быть более осторожными. При раннем обнаружении атаки специалисты по кибербезопасности закроют доступ в систему. В результате многие продвинутые атаки можно провести, только если киберпреступник имеет сигнатуру целевого объекта. Более широкий охват и каскадный эффект Федеративное управление идентификационными данными позволяет пользователям из нескольких предприятий использовать единые учетные данные для доступа к сетевой инфраструктуре любого из предприятий группы. В случае атаки это расширяет охват и увеличивает вероятность каскадного эффекта. Федеративное управление идентификационными данными связывает электронные идентификационные данные субъектов отдельных систем. Например, субъект может войти на Yahoo! с учетными данными Google или Facebook. Это пример социальной идентификации. Целью федеративного управления идентификационными данными является автоматический обмен идентификационной информацией в границах защищенной группы. С точки зрения отдельного пользователя это означает единый идентификационный вход в Интернет. Организации совместно с партнерами должны обязательно проводить анализ идентификационной информации. Злоумышленник имеет возможность украсть из сети партнера такую информацию, как номера социального страхования, имена и адреса, и использовать ее для совершения мошенничества. Наиболее распространенный способ защиты федеративной идентификационной информации — привязка входа в систему к авторизованному устройству. Предпосылки безопасности Кол-центры служб экстренной помощи в США являются уязвимыми для кибератак, которые могут прервать работу сетей экстренных служб и поставить под угрозу общественную безопасность. Телефонная атака типа «отказ в обслуживании» (TDoS) использует звонки в целевую телефонную сеть, блокируя систему и препятствуя получению желательных звонков. Следующее поколение кол-центров служб экстренной помощи является уязвимым, поскольку они используют системы Voice-over-IP (VoIP) вместо традиционных линий проводной телефонной связи. Помимо атак TDoS, кол-центры могут также подвергаться распределенным атакам типа «отказ в обслуживании» (DDoS), которые выполняются с большого числа компьютеров и перегружают ресурсы целевого объекта. Таким образом целевой объект становится недоступным для легитимных пользователей. В настоящее время существует множество способов обратиться за помощью в экстренные службы, используя приложения для смартфонов или системы домашней безопасности. Повышенное распознавание угроз кибербезопасности В начале киберэры защита от кибератак была слабой. Даже сообразительный ученик средней школы или хакер-дилетант мог получить доступ к системам. Со временем страны по всему миру стали лучше понимать опасность кибератак. Кибератаки теперь возглавляют список самых серьезных угроз национальной и экономической безопасности в большинстве стран. Решение проблемы нехватки специалистов по кибербезопасности Национальный институт по стандартам и технологиям (NIST) в США создал архитектуру для компаний и организаций, нуждающихся в специалистах по кибербезопасности. Эта архитектура позволяет компаниям определять основные типы обязанностей, должностей и требуемых навыков. Национальная концепция профессиональной подготовки сотрудников в сфере кибербезопасности (The National Cybersecurity Workforce Framework) категоризирует и описывает работу специалистов в области кибербезопасности. Она обеспечивает универсальный язык для определения характера работы, общего набора задач и навыков, необходимых специалисту по кибербезопасности. Концепция также помогает определить профессиональные требования в области кибербезопасности. Национальная концепция профессиональной подготовки сотрудников в сфере кибербезопасности (The National Cybersecurity Workforce Framework) Пример из России Структура работ по обеспечению безопасности (Workforce Framework) выделяет семь категорий задач в области кибербезопасности. Эксплуатация и обслуживание включают в себя техническую поддержку, администрирование и обслуживание, необходимые для обеспечения производительности и безопасности ИТ-системы. Специалисты в этой обалсти отвечают за оказание поддержки, администрирования и обслуживания, необходиыме для обеспечения эффективнойработы и безопасности ИТ-систем. Защита включает идентификацию, анализ и устранение угроз для внутренних систем и сетевых инфраструктур. Сотрудники, специализирующиеся в этой области, отвечают за определение, анализ и устранение угроз для внутренних ИТ-систем и сетевых инфраструктур Расследование включает в себя расследование кибернарушений и/или киберпреступлений, связанных с ИТ-ресурсами.Сотрудники должны расследовать киберпреступления и / или преступления, соверешенные в ИТ-системах и сетевых инфраструктурах, изучать доказательства. Сбор и управление включают в себя специализированные операции по сокрытию данных и дезинформации и сбор информации для обеспечения кибербезопасности. Специалисты в этой области отвечают за проведение операций по сокрытию данных и дезинформации, а также сбор данных о кибербезопасности Анализ включает в себя высококвалифицированный обзор и оценку поступающей информации по кибербезопасности, чтобы определить, является ли она полезной. Специалисты должны проводить детальную проверку и оценку поступающей информации для определения ее полезности Контроль и развитие предлагают инструкции, указания и руководство для эффективной работы в сфере кибербезопасности. Безопасность и выделение ресурсов включают в себя разработку концепций, проектирование и внедрение безопасных ИТ-систем. В каждой категории есть несколько областей специализации. Области специализации определяют стандартные типы работ по кибербезопасности. Профессиональные организации Работа специалистов по кибербезопасности предполагает сотрудничество. Международные технологические организации часто финансируют семинары и конференции для них. В этих организациях специалисты по кибербезопасности часто хорошо мотивированы. CERT (Computer Emergency Response Team) – компьютерная группа реагирования на чрезвычайные ситуации, финансируется федеральным правительством США. Это группа экспертов, взаимодействующие с интернет-сообществом с целью обнаружения и нейтрализации инцидентов компьютерной безопасности. Координационный центр CERT (CERT/CC) организовывает обмен информацией между экспертами во время чрезвычайных ситуаций, связанных с нарушением информационной безопасности, для предотвращений будущих инцидентов. Эта группа также разрабатывает методы управлвения технологиями и системами для противостяния атакам на сетевые систмы и бобеспечения непрерывной работы сервисов. Также занимается поиском более простых способов обнаружения атак и поиске хакеров.В России аналогом является ГосСОПКА. Координационный центр только формируется MITRE – ведет базу данных общих уязвимостей и рисков (CVE) Институт SANS (SysAdmin, AUDit, Network, Security) – институт системного администрирования, анализа, сетей и безопасности предоставляет ресурсы, такие как система раннего предупреждения киберугроз, еженедельный новостной дайджест, еженедельная сводка уязвимостей, научные работы, а также ведет обчение по информационной безопасности Как стать экспертом по кибербезопасности Чтобы стать хорошим специалистом по кибербезопасности, потенциальный кандидат должен удовлетворять уникальным требованиям. Специалисты должны уметь реагировать на угрозы немедленно после их возникновения. Это означает, что рабочий график может оказаться непредсказуемым. Специалисты по кибербезопасности также занимаются анализом данных, политик и тенденций в стремлении понять, как думают киберпреступники. Часто работа включает значительную долю детективной деятельности. Следующие рекомендации помогут начинающим специалистам по кибербезопасности в достижении их целей. • Учиться: научиться основам, закончив курсы по ИТ. Учитесь постоянно. Кибербезопасность — это постоянно меняющаяся область, и специалисты в ней должны идти в ногу со временем. • Получить сертификаты. Отраслевые сертификации и сертификации от производителей, в том числе от таких компаний, как Microsoft и Cisco, доказывают владение знаниями, необходимыми для специалиста по кибербезопасности. • Проходить стажировки: стажировки в области безопасности могут открыть перед студентом больше возможностей. • Вступить в профессиональные организации: вступление в организации, чья деятельность посвящена компьютерной безопасности, участие во встречах и конференциях, использование форумов и блогов дают возможность получить знания от экспертов.