Угрозы информационной безопасности

• Виды угроз ИБ
• Виды уязвимостей ИБ

Виды угроз ИБ

Угрозы информационной безопасности могут быть различными по происхождению, методам реализации и целям злоумышленников. Их можно условно разделить на несколько ключевых категорий.

I. Внешние угрозы

Вредоносное ПО (Malware)

Это любое программное обеспечение, разработанное чтобы нанести вред пользователю, системе или организации. Malware может:

• шифровать данные и требовать выкуп;
• красть информацию (включая логины, документы, платежные данные);
• скрыто отслеживать действия;
• нарушать работу инфраструктуры;
• распространяться по сети или «сидеть в засаде» до нужного момента

Вредоносное ПО делится на:

1. Трояны. Программы, маскирующиеся под легитимные — якобы обновления, системные утилиты, полезные приложения. После запуска — открывают «чёрный ход» в систему, устанавливают другое вредоносное ПО или похищают данные.
2. Кейлоггеры. Незаметно фиксируют каждое нажатие клавиши и отправляют злоумышленнику. Используются для кражи паролей, логинов, текстов писем и сообщений.
3. Шпионское ПО (Spyware). Следит за действиями пользователя: собирает данные о веб-сайтах, местоположении, вводимой информации, иногда — даже делает скриншоты или записывает видео с камеры.
4. Черви. Самостоятельно распространяются по сети, заражая всё подряд — без участия пользователя. Особо опасны в корпоративных средах с недостаточной изоляцией сети. Зачастую опасен не сам по себе, а тем, что распространяясь «тянет» за собой другое вредоносное ПО.
5. Шифровальщики. Шифруют данные на устройстве и требуют выкуп за ключ дешифровки.

Как защититься от вредоносного ПО:

• Использовать антивирус и EDR-системы (Endpoint Detection and Response).
• Использовать политики доступа и ограничение прав. В политиках важно прописывать правила запрета на установку программ без согласования, блокировку запуска исполняемых файлов из вложений писем и с флешек, отключение макросов в документах Office, если они не используются
• Ограничить запуск приложений и доступ к ресурсам, по которым может быть получено вредоносное ПО.
• Сегментировать сеть. Это помогает разделить инфраструктуру на логические зоны. Если один сегмент заражён — остальные остаются защищёнными. Например, бухгалтерия не имеет прямого доступа к серверу с персональными данными клиентов.
• Создать карантинную зону. Все подозрительные файлы сначала открываются в виртуальной среде, где вредонос не может нанести вред.
• Организовать резервное копирование. При этом бэкапы нужно создавать автоматически по расписанию и хранить в отдельной изолированной среде.

Хакерские атаки

Это целенаправленные действия злоумышленников, направленные на взлом, получение несанкционированного доступа, кражу данных, вывод из строя IT-систем или обход защитных механизмов. Такие атаки могут быть технически сложными и проводиться как единичными хакерами, так и целыми группами (APT — Advanced Persistent Threats).

Хакерские атаки делятся на:

1. SQL-инъекции, XSS и другие уязвимости веб-приложений. Например, при SQL-инъекциях злоумышленник внедряет вредоносный SQL-код в поля ввода (логин, поиск, комментарии), чтобы получить доступ к базе данных, изменить или удалить информацию.
2. DDoS-атаки (Distributed Denial of Service). Это массовая отправка запросов к серверу, чтобы тот не справился с нагрузкой и перестал отвечать. Используются боты и заражённые устройства (ботнеты).
3. MITM (Man-in-the-Middle). Злоумышленник встраивается между пользователем и сервером, перехватывая трафик: логины, пароли, сообщения, банковские данные. Часто используется в незащищённых Wi-Fi сетях
4. Brute Force. Автоматическое перебирание вариантов логина/пароля. Может применяться как «в лоб», так и через словари распространённых паролей (dictionary attack).

Как защититься от хакерских атак:

• Использовать веб-файрволы. Специальные фильтры, которые анализируют входящий трафик и блокируют вредоносные запросы. С их помощью блокируют SQL-инъекции, XSS-атаки, попытки обойти авторизацию.
• Использовать многофакторную аутентификацию. Даже если злоумышленник узнает логин и пароль, без второго фактора (например, кода из SMS или приложения) он не войдёт.
• Использовать ограничение попыток входа. Этот способ помогает защититься от брутфорса, ботов и массовых переборов паролей.
• Использовать SSL/TLS-шифрование (HTTPS). Это помогает защититься от перехвата сообщений.
• Пользоваться IDS/IPS (Intrusion Detection/Prevention Systems). Системы обнаружения и предотвращения атак отслеживают подозрительную активность, уведомляют админов, автоматически блокируют атаки.
• Своевременно обновлять операционные системы, CMS, плагины и библиотеки.
• Применять прокси-серверы и фильтрацию трафика.
• Использовать DDos-защиту. Это облачные и аппаратные решения, которые фильтруют фальшивые запросы, распределяют нагрузку, предотвращают перегрузку ресурсов.

Социальная инженерия

Это атаки не на технологии, а на людей Злоумышленник обманом или манипуляцией заставляет пользователя добровольно выдать конфиденциальную информацию, перейти по вредоносной ссылке, установить заражённый файл или передать доступ к системам.

Часто используется как первичный вектор атаки — с его помощью получают вход в сеть, после чего разворачиваются технические атаки (вредонос, lateral movement и др.).

Делятся на:

1. Фишинг. Массовая или точечная рассылка писем/сообщений от имени известных брендов или структур (банк, налоговая, Microsoft и др.).
2. Смишинг (Smishing). Фишинг через SMS. Пример: «Ваша карта заблокирована, перейдите по ссылке».
3. Вишинг. Телефонные звонки от «службы безопасности банка», «сотрудника техподдержки» или «представителя регулятора».
4. ИмперсонацияЗлоумышленник лично, по почте или в мессенджерах выдает себя за коллегу, партнера, внешнего подрядчика или начальника.

Как защититься от социальной инженерии:

• Проводить обучение сотрудников. Например, это тренинги по кибергигиене, курсы, симуляции фишинга с реальными примерами и анализом ошибок
• Проверять отправителей и домены. Например, настроить, чтобы в корпоративной почте отображались предупреждения о письмах от внешнего отправителя и ссылках в письмах.
• Формализовать процессы доступа. Например, никакие операции (особенно выдача доступов) не проводятся по устной или email-заявке от «начальника». Только через утверждённые каналы.
• Защищать почту и мессенджеры. Для этого можно использовать фильтры спама и антивирусных шлюзов, автоматически проверять вложения и ссылки, запрещать загрузку файлов из неизвестных источников. Из очевидного — использовать для рабочих целей только корпоративные мессенджеры.
• Ограничить доступ к критичной информации. Даже если сотрудник стал жертвой атаки — у него не должно быть доступа ко всей базе.

II. Внутренние угрозы

Это любые угрозы, исходящие изнутри организации — от сотрудников, подрядчиков, партнёров или бывших сотрудников, имеющих (или имевших) доступ к системам, данным или помещениям.

Если рабочий пришел на смену, но не может по тем или иным причинам выполнять работу, это фиксируют как простой.

Внутренние угрозы делятся на:

Непреднамеренные действия сотрудников. Чаще всего происходят из-за отсутствия подготовки или неосознанного поведения. Например, это отправка конфиденциального файла не по тому адресу, использование одного пароля для нескольких сервисов, подключение заражённой флешки, работа с корпоративными данными через незащищённую домашнюю сеть.

Злонамеренные действия сотрудников. Это осознанные действия, направленные на причинение ущерба или извлечение личной выгоды. Например, кража клиентской базы или финансовых отчётов, продажа коммерческой информации конкурентам., установка вредоносного ПО в корпоративной сети.

Чаще всего они возникают при увольнении сотрудника, при отсутствии контроля за действиями сотрудников с повышенными правами.

Как защититься от внутренних угроз:

• Разграничивать роли и доступы. Доступ должен определять на основе роли сотрудника, а также зависеть от времени суток, местоположения, устройства.
• Использовать принцип наименьших привилегий. Каждому сотруднику — только тот доступ, который ему нужен на конкретном этапе работы. При этом важно пересматривать доступ при изменении роли или проекта, ограничивать права сотрудникам в день увольнения.
• Повышать осведомленность сотрудников за счет обучения правилам и ИБ и регулярным тренировкам с помощью фишинговых и других симуляций.
• Проводить мониторинг активности сотрудников. Важно отслеживать аномалии, например, скачивание больших объёмов данных, доступ к разделам, которые раньше не использовались, действия в нерабочее время.
• Журналировать и сохранять логи. Важно записывать действия: кто, что, когда скачал, удалил, изменил, передал. Также важно хранить логи в течение нескольких месяцев — точные сроки определяются отраслевыми стандартами.
• Проводить offboarding. Например, удалять или блокировать учетные записи сотрудников после удаления и изымать рабочее оборудование.

III.Комбинированные угрозы

Это атаки, сочетающие внешние и внутренние компоненты. Часто представляют собой многоступенчатую схему: сначала злоумышленник проникает в систему извне, а затем использует внутреннюю инфраструктуру или доступы, чтобы закрепиться, развить атаку или скрыть следы.

Например, такие атаки могут сочетать в себе фишинг, компрометацию аккаунта и внутреннюю атаку:

1. Сотрудник получает фишинговое письмо и вводит логин/пароль на фейковом сайте.
2. Злоумышленник получает доступ к корпоративной почте.
3. Через неё рассылает вредонос другим сотрудникам или скачивает документы с внутреннего хранилища.

Как защититься от комбинированных угроз:

• Использовать архитектуру Zero Trust. Ее главный принцип — никто в сети — ни внешний пользователь, ни сотрудник — не считается доверенным по умолчанию. Каждое действие — авторизуется, проверяется и ограничивается в правах.
• Использовать микросегментацию сети. Это означает деление инфраструктуры на изолированные зоны с ограничениями доступа между ними. Даже если злоумышленник проникнет в одну часть сети — он не получит доступ ко всей
• Отслеживать активность пользователей и логировать ее. Например, это отслеживание входов, перемещений, доступа к данным, настройка оповещений о подозрительной активности, анализ поведения пользователей и систем.

Все кибератаки невозможно без эксплуатаций уязвимостей — злоумышленники знают слабые места компаний и используют их в своих целях. Поговорим о них ниже.

Виды уязвимостей ИБ

Уязвимости это факторы, из-за которых угрозы могут возникнуть в организациях. По сути это слабые места в системе, которые могут быть использованы злоумышленником для компрометации, обхода защиты или атаки.

Уязвимости делятся по происхождению, степени критичности, наличию исправления.

По происхождению:

1. Программные уязвимости. Возникают из-за ошибок в коде, некорректной логики или плохой архитектуры приложения. Например, это отсутствие валидации ввода (SQL-инъекции), переполнение буфера, неправильная работа с памятью.

Чтобы защититься от программных уявзимостей, нужно использовать безопасные библиотеки и фреймворки, проводить регулярный аудит кода и автоматическое сканирование на уязвимости.

2. Аппаратные уявзимости. Недочёты в конструкции оборудования, прошивке или встроенном ПО (firmware), которые не всегда устраняются патчами. Например, уязвимости в процессорах (Spectre, Meltdown).

Чтобы защититься от аппаратных уязвимостей, важно обновлять прошивки устройств, использовать TPM/UEFI Secure Boot, физически защищать оборудование и шифрование данных.

3. Уязвимости, вызванные человеческим фактором Это ошибки пользователей, администраторов, разработчиков и даже подрядчиков. Например, установка ПО из ненадёжных источников, использование слабых паролей, публикация конфигурационных файлов с секретами в открытом репозитории.

Чтобы защититься от уязвимостей этого типа, нужно регулярно проводить обучение и тренировки сотрудников, внедрять DevSecOps-практики и автоматизировать процедуры с минимизацией ручных операций.

По степени критичности

1. Критические уязвимости. Позволяют полностью скомпрометировать систему, получить привилегии администратора или украсть важные данные без участия пользователя. Например, удалённое выполнение кода (RCE) или обход аутентификации.

Чтобы защититься, нужно незамедлительно обновлять системы после обнаружения уязвимости, сегментировать сеть и ограничивать доступ к тем или иным ресурсам, защищать периметр и изолировать критичные узлы.

2. Средние уязвимости. Не позволяют атакующему сразу получить полный контроль, но создают предпосылки для атаки — особенно в связке с другими уязвимостями. Например, отображение информации о системе в ответе API, возможность перебора имён пользователей (user enumeration).

Чтобы защищаться нужно использовать комбинированные меры: защита API, маскирование ошибок, фильтрация запросов.

3. Низкие уязвимости. Не позволяют нанести прямой ущерб, но используются как вспомогательные шаги в сложных атаках. Например, устаревшие JS-библиотеки на сайте и незащищённые элементы интерфейса.

Чтобы защититься, нужно использовать систематическую зачистку: инвентаризовать компоненты, проводить аудит зависимостей.

По наличию исправления

1. Zero-day уязвимости (нулевого дня). Неизвестны разработчикам или не имеют публичного исправления. Используются злоумышленниками до того, как станет доступен патч.

Чтобы защититься, важно проводить поведенческий анализ (EDR, SIEM), изолировать критичные системы, постоянно обновлять средства защиты.

2. Известные, но не закрытые. Информация об уязвимости есть в открытом доступе, но патч ещё не установлен или не выпущен. Хакеры активно сканируют интернет на предмет таких уязвимостей.

Чтобы защититься, нужно проводить централизованный патч-менеджмент, приоритизировать обновления по критичности (CVSS), временно отключать уязвимые модули системы.

3. Исправленные (Patched). Уязвимости, на которые вышли обновления, и они уже установлены. При этом система остаётся уязвимой, если патчи не применяются вовремя.

Угрозы информационной безопасности становятся всё более сложными, комбинированными и труднообнаружимыми. Современная ИБ — это не только про технологии, но и про процессы, обучение персонала, контроль доступа и постоянный мониторинг. Один антивирус или фаервол уже не спасёт: эффективная защита строится на принципе «Zero Trust», многоуровневой архитектуре, регулярном обновлении систем и осознанности каждого сотрудника. Чем раньше организация начнёт системно выстраивать ИБ, тем меньше шансов, что ей придётся расплачиваться за свою уязвимость.