Каким кибератакам может подвергнуться сеть
MITM (man in the middle) — «Человек посередине». Так называется кибератака, при которой злоумышленник вклинивается в поток передаваемых данных для дальнейшей манипуляции с ними. Он может их считать и подменить или и вовсе выдать себя за другого пользователя и даже устройство или приложение. Такая атака может осуществляться на физическом уровне, например через несанкционированное подключение к кабелю. И при этом MITM чаще всего проводится в открытых или недостаточно защищенных Wi-Fi сетях.
DoS/DDoS (denial of service) — атака, направленная на вывод из строя или существенное замедление сервера, сети, сайта или приложения. Для этого ресурс заваливается нерелевантными запросами, например через формы обратной связи или множественную отправку объемных файлов.
- При DoS-атаке запросы отправляются с одного устройства.
- А при проведении DDoS (распределенной атаки) задействуется сразу множество устройств. Такая кибератака может проводиться при помощи ботнетов — сети зараженных устройств.
DoS/DDoS могут полностью вывести из строя IT-инфраструктуру, и как следствие, бизнес-процессы компании. При этом такие атаки также используются для маскировки других нелегитимных действий: кражи или подмены данных, инфицирования системы и других операций.
Mail Bombing — разновидность DDoS-атак, направленная на почтовый сервер для вывода его из строя. Для этого он забрасывается спам-письмами с большими вложениями.
Сканирование портов — атака, направленная на выявление уязвимостей в системе. К портам устройства автоматически отправляются запросы для сбора сведений о конфигурации и средствах защиты. Так хакер может узнать об используемых операционных системах и программах. Но главная его цель — нащупать в системе уязвимости и подвергнуть их дальнейшей эксплуатации.
При этом, как и некоторые другие подобные операции, сканирование портов может использоваться для проверки уровня защиты собственных систем, например DevOps-инженерами.
ARP (Address Resolution Protocol) Spoofing — разновидность атаки «человек посередине». ARP определяет MAC-адреса, когда известен IP, и помогает устанавливать связь между устройствами в сети. При реализации ARP Spoofing злоумышленник отправляет в сеть фальшивые ARP‑сообщения, чтобы вклиниться в коммуникацию двух серверов в локальной сети организации и пропускать через себя их сетевой трафик.
DNS Spoofing — еще одна MITM-атака, тесно связанная с фишингом и распространением вредоносного ПО. Предполагает изменение DNS‑записей для перенаправления пользователей на поддельные веб-сайты.
Вредоносные боты — программы, которые пытаются нанести ущерб IT-системе:
- создают избыточную нагрузку на сервер;
- сканируют систему на уязвимости;
- постят и рассылают спам;
- а также совершают множество других опасных автоматизированных действий.
И, конечно, нельзя не упомянуть несколько распространенных кибератак, о которых мы рассказывали ранее: фишинг, брутфорс, XSS и SQL‑инъекции. Они главным образом воздействуют на пользователей, а потому в меньшей степень относятся к сетевым. С другой стороны — представляют серьезную угрозу онлайн-проектам, и следовательно, заслуживают упоминания в этой статье.
Фишинг — одна из самых распространенных форм онлайн-мошенничества. Цель такой атаки — обманом убедить человека предоставить платежные, учетные и другие конфиденциальные данные. Для этого злоумышленники создают фейковые страницы, имитирующие различные ресурсы, с которыми обычно взаимодействуют пользователи. А затем заманивают на фишинговые сайты трафик через письма на email, SMS и сообщения в мессенджерах.
Злоумышленники также могут попытаться выведать сведения напрямую через звонки или в переписке, представляясь каким-либо сервисом или организацией.
Брутфорс (англ. Brute Force) — различные методы подбора паролей. Для этого может использоваться специальное ПО, большие вычислительные мощности и утекшие ранее данные.
SQL‑инъекции — вредоносные запросы к СУБД на SQL, при помощи которых злоумышленник может узнать, заменить, уничтожить или украсть данные. При проведении SQL‑инъекций хакер также может получить сведения об IT-инфраструктуре для дальнейшей эксплуатации ее уязвимостей.
XSS (Cross-Site Scripting) — кибератака, при которой хакер внедряет на сайт вредоносный код. Обычно для этого используются ФОС, поисковая строка и другие формы с полем ввода. После этого XSS-код пытается внедриться в браузеры пользователей для дальнейших опасных действий:
- перенаправления на фишинговые страницы с целью кражи данных;
- проведения атак на аккаунты в соцсетях;
- отправки опасных запросов;
- кражи куков и получения доступа к сессии пользователя.
Однако защита от кибератак и вредоносных программ — это лишь часть работ по обеспечению сетевой безопасности. Ведь если к роутеру или физическому серверу имеют доступ случайные люди, то сетевые атаки злоумышленникам даже не понадобятся.
Как защитить свою сеть
Для обеспечения сетевой безопасности необходимо реализовать комплекс мер с использованием различных подходов в организации работы сетей и интеграции определенных инструментов.
Контроль доступа — первый шаг для достижения этой цели. Включает пропускной режим, разграничение помещений, идентификацию персонала и систему видеонаблюдения. Контроль доступа защищает инфраструктуру от манипуляций с элементами системы на физическом уровне и позволяет отследить вмешательства в ее работу.
Сегментация сети — минимизирует зону атаки и в сочетании с другими мерами защиты снижает риски и ущерб от вторжения. Смысл в том, чтобы разделить сеть на несколько самостоятельных сегментов, например, следующим образом:
- персональные компьютеры, смартфоны, планшеты и другие пользовательские устройства с онлайн-доступом;
- базы данных, файловые системы, S3 и другие хранилища;
- демилитаризованная зона (англ. DMZ, Demilitarized Zone) — часть локальной сети, доступная из интернета, но изолированная от внутренних сервисов;
- сегмент для управления сетевыми ресурсами.
При этом в отдельные сегменты можно выделять элементы системы по определенному признаку: например, устройства, подключенные к Wi-Fi или базы дынных.
Модель нулевого доверия (Zero Trust Model) — концепция построения корпоративной сети со строгими стандартами безопасности. По ее логике получить доступ можно только после аутентификации и авторизации. При этом в процессе работы с системой статус пользователей все время автоматически перепроверяется. Основные принципы Zero Trust Model:
- Никакого доверия по умолчанию — опасные запросы могут поступить от любого пользователя и устройства внутри и за пределами сети.
- Предоставление пользователям минимальных прав доступа — только к необходимым данным и сервисам в рамках конкретных задач.
- Высокая степень сегментации сети с отдельной настройкой безопасности для всех ее частей.
- Мониторинг поведения пользователей и подключенных к сети устройств.
- Использование многофакторной аутентификации.
NGFW (Next Generation FireWall) — межсетевой экран, который защищает систему и фильтрует трафик между сегментами сети. Для этого реализуются следующие функции:
- Проверяется содержимое пакетов для выявления различных киберугроз.
- Трафик распознается и управляется в том числе на уровне приложений, а не только на уровне портов и протоколов.
- Обнаружение опасных запросов при помощи IDS (intrusion detection system) и, как правило, передача их в IPS для блокировки.
- Предотвращение вторжений при помощи IPS (intrusion prevention system) — системы блокировки вредоносных запросов.
- Доступами можно управлять через идентификацию пользователей, а не только IP-адресов.
- Реализация комплексной защиты за счет интеграции с другими решениями для обеспечения безопасности.
Шифрование — один из ключевых элементов безопасного обмена данными. Гарантирует, что передаваемая информация будет защищена от перехвата. Например, для этой цели может использоваться ассиметричное шифрование — с использованием пары ключей: публичного и приватного.
Базовую защиту данных обеспечивает SSL-сертификат, который привязывается к домену и может использоваться на сайтах, приложениях, корпоративных хранилищах, стриминговых и других сервисах. SSL обеспечивает безопасное соединение между пользователями и ресурсами, на которых он установлен.
Если адрес защищен, то протокол обмена данными перед доменом принимает вид https:// Это означает, что оставляемые в формах обратной связи данные будут зашифрованы.
Однако злоумышленники тоже могут использовать SSL-сертификаты, например для проведения фишинговых атака. Поэтому всегда важно обращать внимание на корректность доменного адреса. В расчете на невнимательность пользователей мошенники используют адреса сайтов и почты с ошибками в отдельных символах. Поэтому для дополнительной защиты интересов своего бренда важно не только использовать SSL-сертификаты и другие инструменты обеспечения безопасности, но и регистрировать схожие с основным названием сайта домены.
Системы мониторинга обеспечивают контроль за инфраструктурой, потреблением ресурсов, состоянием оборудования и другими элементы работы IT-системы. Для решений подобных задач используются различные инструменты. Например, в Zabbix можно настроить оповещения на различные события и отслеживать показатели инфраструктуры. В рамках IT-аутсорсинга наши специалисты разворачивают и настраивают как Zabbix, так и множество других систем мониторинга.
SIEM‑решения (Security Information and Event Management) обеспечивают контроль за информационной безопасностью системы. Такие средства защиты анализируют события ИБ и используются для выявления киберинцидентов и оперативного реагирования на них. Специалисты нашего центра кибербезопасности — первого аттестованного коммерческого SOC в стране — устанавливают и обеспечивают эффективное управление SIEM‑решениями на ваших проектах.
Как мы обеспечиваем безопасность для ваших проектов
Безопасность на физическом уровне. Наши дата-центры оснащены системами контроля доступами, включая видеонаблюдение. При этом изолированный контур дата-центра для размещения проектов с чувствительной информацией обладает повышенными стандартами безопасности.
Резервирование данных и восстановление. В зависимости от выбранного формата хостинга вам доступны различные настройки для резервных копий. Например, автоматическое бэкапирование и расширенные возможности: скачивание отдельных файлов из бэкапов, а также подключение и настройка S3-хранилища.
Сетевая безопасность. На уровне дата-центра реализована защита от DDoS-атак, используются межсетевые экраны и защита от спама и вирусов, а также множество других средств для обеспечения безопасности.
Соответствие законодательству. Наши услуги позволяют соблюсти различные требования белорусского законодательства: от регистрации сайта в БелГИЭ до хранения персональных данных и прохождения аттестации СЗИ.
Техническая поддержка. Наши технические специалисты на связи 24/7 и помогут решить вопрос по работе онлайн-проекта даже ночью, в праздники и выходные.
Больше надежных решений для ваших онлайн-проектов
Хостинг с повышенными стандартами безопасности. Работаете с персональными данными? Размещайте проект на нашем защищенном хостинге: виртуальном, облачном и выделенных серверах. Мы также уполномочены размещать в защищенном контуре сайты и почту государственных органов и организаций.
IT-аутсорсинг. Воспользуйтесь услугами по обслуживанию IT-инфраструктур любой сложности. Подключайте администрирование серверов, заказывайте DevOps-сопровождение или быстрые решения для вопросов по работе сайта или приложения.
Аттестация СЗИ. Минимизируйте юридические финансовые и репутационные риски для своего проекта. Пройдите проверку вашей системы защиты информации и получите аттестат соответствия требованиям законодательства. Размещайте проекты на нашей защищенной инфраструктуре, подключайте услугу администрирования и проходите аттестацию СЗИ на упрощенных условиях.
Многоуровневая защита. Подключите комплексное решение для предотвращения взломов, утечек данных и кибератак, а также очистки трафика от опасных запросов. Блокируйте доступ вредоносным ботам при помощи умной капчи. Используйте геоблокировки и при необходимости настраивайте вручную параметры запросов к вашим сервисам.