В чем суть?
Свое повествование хочу начать со знакомства с читателем. О Вас узнать хоть что-то помимо вашей заинтересованности в ИБ мне навряд ли удастся, а вот рассказать о себе я немного могу. Родился, учился, женился и так далее по списку – оно все понятно. Но как я вообще сталзнатокоминтересующимся сферы IT? Так случилось, что мое высшее образование в универе было напрямую связано с обеспечением безопасности информационной среды и пост кодом 10.05.03. Но несмотря на выбранный путь, мой интерес к IT возник еще в школьные годы с изучения информатики и постижения БАЗЫ. Очень быстро я понял, что изучение IP-адресов, составляющих рабочего ПК и расчета маски подсети мне не хватает. Интернет мне в помощь… Первый поисковый запрос по теме: «Как стать хакером?». Первая ссылка на всем известный журнал Хакер. В ходе чтения открытых публикаций мое внимание постоянно приковывалось к страшным и непонятным мне на тот момент словам: хактивизм, атаки на ресурсы, зловещий DoS, черви, фишинг и что ж это за чудо лекарство такое Kali Linux? Недолго думая, гуглим дальше и дальше, и дальше. В итоге стало понятно, что ничего непонятно, но очень интересно. Дальнейшее более научное знакомство с IT произошло в универе и в этот же момент я начал крутить железяки ПК, «впихивать невпихуемое» и смотреть на эти супер ЭВМ от Goggle и Amazon. Десятки часов за просмотром каналов сборщиков ПК по типу Хайперов (кто понял, тот понял) и параллельное изучение всех ГОСТов из возможных по курсу обучения. В итоге, спустя 5 лет труда на свет рожден новый «безопасник» в лице меня и красный диплом об окончании ВУЗа, который как оказалось на первой моей работе ничего не говорит о моих навыках и знаниях. Первая же должность – системный администратор. В распоряжении десятки серверов, сотни рабочих станций и столько же работающих сервисов в $top. Так сказать, сразу в огонь, воду… Здесь я и по сей день, работаю и постигаю все что вижу уже 5 лет. Kali Linux теперь не кажется чем-то особенным, а скорее рабочей лошадкой на каждый день. За спиной опыт работы в SIEM, SOAR, IDS/IPS, DLP, EDR и такие сокращения я теперь могу приводить до потерипульсаинтереса читателя. Подытоживая могу сказать одно - гуру ИБ я еще не стал, но очень стремлюсь познать все что еще не знаю и передать свой имеющийся опыт другим, для чего и создан данный блог. Надеюсь кому-то идущему по пути «джедая» я смогу чем-то помочь и если хоть одна статья будет полезна кому-то – то моя цель будет достигнута.
В своем блоге я буду говорить обо всем что связано с ИБ, изначально все будет структурированно, но иногда будем отступать от темы и говорить о том, что интересно не только мне, но и Вам. Для этого необходимо только одно – Ваша обратная связь. Чем больше будет отзывов и критики, тем лучше и мотивированнее я буду писать статьи.
Теперь обратно к теме. Начнем с простого и будем постепенно углубляться в мир ИБ. К сожалению, изучить его полностью невозможно, так как развитие сферы происходит куда быстрее, чем мы с Вами можем ее постичь. Начнем, пожалуй, с виновника торжества – злоумышленника. Ведь не было бы сферы и специалистов ИБ без злодея, который мешал бы вечно всем работать, ну знаете такого «умного» школьника, который вычитал в интернете как удаленно дать команду на выключение всех компьютеров в локальной сети через cmd и команду shutdown с параметрами. А администратор этой школьной сети по какой-то причине не выключил удаленное выполнение команд или хотя бы не заблокировал консоль для пользователей. Ну вот на примитивном примере мы с Вами разобрали типовую картину угроз. Есть злоумышленник в виде школьника, есть мотив злоумышленника – показать свою одаренность учителю и получить двойку похвалу и есть среда распространения (цель) – локальная вычислительная сеть школы. Естественно, современные хакеры мотивированы иначе и используют уже более сложные типы атак на системы. Например, в качестве мотивов сегодня выделяют:
- Кража ценной информации и вымогательство с целью получения выгоды
- Шпионаж
- Власть в киберпространстве
- Хактивизм
- Жажда мести
Теперь по отдельности. Важно! Информация, представленная в статье, не призывает к каким-либо действиям, а носит исключительно информационный характер, ведь лучшая защита – это знания.
Кража ценной информации происходит чаще всего в организациях (компаниях) и в качестве такой информации могут выступать коммерческие (служебные) данные, на основе которых можно сделать какие-то существенные выводы и инсайды. Такую информацию можно отдать владельцу за вознаграждение (вымогательство) или передать ее незаконно третьим лицам за то же вознаграждение.
Сегодня пролистав ленту новостей Вы можете с высокой вероятностью наткнуться на такое понятие как кибершпионаж, например, одного государства за другим. Целевой информацией в данном случае выступают сведения о технологиях, производстве и клиентах государства. Думаю, значимость такой информации подчеркивать нет смысла, ведь сегодня кто владеет информацией – тот владеет миром (Н. Ротшильд) и тот получает конкурентное и стратегическое преимущество.
Информация, полученная шпионажем может использоваться и с целью получения власти в киберпространстве и в условиях информационного противодействия государств такая информация сыграет важную роль. Например, только сведения об информационной инфраструктуре государства могут дать злоумышленникам информацию о наиболее эффективных методах атак на критически важные объекты, что может вызвать катастрофические последствия: отключение электроснабжения, перебои в сети передачи данных и все это в масштабах государства.
Сегодня очень актуальна проблема «экстремальной» демократии и свободы слова, когда помимо маршей и забастовок злоумышленники используют атаки на информационные системы, так называемый хактивизм и считают это законным способ протеста и самовыражения. Таким способом может распространяться искаженная или заведомо ложная информация, которая может навредить компании или целому государству.
Ну и самое банальное, но не менее опасное на сегодня – это вредительство с целью мести. Иногда, целью злоумышленника является не самовыражение или обогащение, а просто желание причинить вред кому-либо. Часто, злоумышленник в данном случае выступает в роли бывшего сотрудника компании и уже знает, как функционирует инфраструктура организации и ее внутренние процессы. Таким образом, все что остается – это лишь эксплуатировать уязвимость для конкретного сервера или программного обеспечения на нем. В связи с этим, злоумышленники с мотивом мести являются чуть ли не самыми опасными, ведь у них уже есть вся необходимая информация о компании и не требуется проведение дополнительных этапов подготовки.
Подводя итог, можно сказать, что мотив злоумышленника может быть разным и знание о нем может помочь специалисту по ИБ выстроить правильную защиту инфраструктуры. Главное правило которое следует соблюдать при построении защиты – это «правило луковицы», необходимо выстраивать защиту организации не для конкретного злоумышленника, а для наиболее вероятных направлений атак, то есть эшелонированную оборону, когда, пройдя за первую стену злоумышленник столкнется с еще одной, а потом еще одной и чем больше таких стен, тем больше времени у специалиста обнаружить злоумышленника. И самое важное, никогда не верьте в то, что ваша защитная стена неприступна – на любой замок найдется отмычка.