Навигация
Роль вредоносных программ в промышленном шпионаже
11419
знаков
0
таблиц
0
изображений
Алиса Шевченко
ЗАЩИТА И ПРЕДОТВРАЩЕНИЕ
В силу специфики проблемы никакие программно-технические средства не гарантируют защиту от данной угрозы. Существенно усложнить задачу злоумышленника способны классические, грамотно спланированные меры обеспечения ИБ: защита внешнего периметра, шифрование информации, продуманные внутренние политики и плановые внешние тесты безопасности. Чрезвычайно важна осведомленность сотрудников в вопросах безопасности, так как наиболее эффективным и плохо поддающимся контролю вектором внедрения вредоносного кода является социотехнический вектор.
СЕГОДНЯ вредоносные программы – троянцы, вирусы, бэкдоры и шпионы – постоянная тема новостных колонок, посвященных информационной безопасности. Они представляются чем-то очень распространенным, но относительно безопасным – по крайней мере, для тех, у кого установлен антивирус.
Не стоит забывать о том, что программышпионы по-прежнему с успехом используются в профессиональном промышленном и финансовом шпионаже – с целью обеспечения скрытного доступа к внутренней сети организации, ее конфиденциальным ресурсам либо в качестве автоматизированного инструмента для снятия информации. Что неудивительно: внедрить незаметную программу через одного из сотрудников (ничего об этом не подозревающего) безопаснее и дешевле, чем использовать с той же целью инсайдера.
ОБЗОР ПРОБЛЕМЫ
Публичные источники информации не дают оснований судить о роли вредоносных программ в инцидентах, связанных с компрометацией ИБ. Тому имеется ряд причин. 1. Инциденты утечки информации и тем более результаты их расследования редко предаются огласке, так как это способно повредить репутации компании. 2. Техническое расследование необходимой глубины не может быть произведено, если у следователя недостаточно компетенций для выявления профессионального руткита или же если подозреваемые серверы были скоропалительно "пущены под снос".
Если программа-шпион грамотно разработана, то в процессе ее работы пострадавшая сторона никогда не заподозрит неладное, а к моменту раскрытия факта утечки атакующий успевает "замести следы" – удалить шпионскую программу и очистить системные логи 3. Об эффективности использования программных средств с целью получения доступа к внутренним IT-ресурсам организации и необходимых привилегий можно судить по тому факту, что в арсенале любой серьезной организации, проводящей "Тесты на проникновение" (Penetration testing), обязательно имеется тест на внедрение постороннего кода1. По данным представителей нескольких подобных организаций, указанный способ проникновения в сеть является одним из наиболее эффективных в ходе выполнения "Тестов на проникновение". Существует ли надежная защита от таких вредоносных программ? Проблема в том, что целевые шпионские программы крайне редко попадают в антивирусные лаборатории по причинам, перечисленным выше. Антивирус против них бессилен и еще по одной причине: бюджеты на разработку инструментов для промышленного шпионажа вполне покрывают расходы разработчика на решение задачи обхода всех существующих на рынке защитных средств2. Что касается современных DLP-решений: они предназначены в первую очередь для защиты от непреднамеренных или дилетантских утечек информации и не способны обеспечить надежную защиту от профессионально спланированной кампании.
СОВРЕМЕННЫЕ ЦЕЛЕВЫЕ ШПИОНСКИЕ ПРОГРАММЫ
Стоит выделить три разновидности шпионских программ, применяемых в качестве инструментов для промышленного шпионажа и финансового мошенничества.
1. Руткит – вредоносная программа, скрывающая свое присутствие в системе от пользователя и утилит.
2. Троянец – обыкновенная шпионская программа, не скрывающаяся в системе.
3. Закладка – шпионский код, встроенный в легитимное ПО. Большинство подобных программ являются целевыми, т.е. разработанными на заказ с учетом IT-инфраструктуры конкретной организации.
С целью сбора информации шпионская программа устанавливается на ключевой сервер в сети организации или на рабочую станцию ответственного сотрудника.
Перечислим основные векторы внедрения шпионской программы в целевую систему. 1. Программа инсталлируется при помощи инсайдера. 2. Программа внедряется через одного из сотрудников (без его согласия) при помощи методов социальной инженерии. Это может быть присланная по каналам e-mail, IM, социальных сетей ссылка на программу (якобы от имени знакомого сотрудника или администратора организации) или подброшенный диск с презентациями.
3. Программа внедряется "снаружи", после взлома сетевого периметра.
Необходимость в проведении анализа серверов организации на предмет шпионских программ возникает в следующих случаях.
1. Профилактика: в составе комплекса мер по внедрению ПО для защиты от утечек или в ходе проведения плановых тестов ИБ. 2. Диагностика: зафиксировано аномальное поведение компьютерных систем – "лишние" процессы, несанкционированные сетевые соединения, ненормальный объем трафика или потребляемых процессорных ресурсов.
Похожие работы
... информации: в штатном режиме; изменения в штатном режиме работы; нештатный режим (аварийные ситуации). Глава 2. Обоснование способов защиты операционной системы от программных закладок типа троянский конь 2.1 Общие сведения о троянских программах Подсоединение локальных компьютерных сетей организаций к сети Internet приводит к необходимости уделять достаточно серьезное внимание ...
... в индивидуальном порядке органами безопасности, на основании заключения об осведомленности лица в сведениях, составляющих государственную тайну. Должностные лица и граждане, виновные в нарушении законодательства РФ о государственной тайне, несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством. Глава 2. Виды и ...
... 1997 г., восполнили существенный пробел в защите одного из важнейших продуктов человеческой деятельности, впервые выделив в рамках IX раздела самостоятельную главу, именуемую “Преступления в сфере компьютерной информации”. Главу открывает ст. 272 УК РФ, предусматривающая ответственность за неправомерный доступ к охраняемой законом компьютерной информации, т. е. информации на машинном носителе в ...
... европейские государства и США повели решительную борьбу с компьютерными преступлениями с момента их появления в жизни общества, следовательно, правовая регламентация уголовной ответственности за совершение компьютерных преступлений отличается очень высокой степенью детализации и высоким уровнем юридической техники. Очевидно, что российскому законодателю следует оценить опыт зарубежных государств ...
0 комментариев