Zagrożenia bezpieczeństwa cybernetycznego są coraz częstsze, bardziej różnorodne i złożone. Poznaj szybki, aktualny przegląd 21 zagrożeń cyberbezpieczeństwa i dowiedz się, jak zdobyć informacje potrzebne do zapobiegania naruszeniom danych i zwiększenia bezpieczeństwa informacji.
W tym wpisie dowiesz się:
- Co to są zagrożenia cyberbezpieczeństwa
- 21 zagrożeń cybernetycznych: DDoS, MitM, socjotechnika i inne
- Wspólne źródła zagrożeń cyberbezpieczeństwa
- Trendy i wyzwania związane z cyberbezpieczeństwem
- Jak nadawać priorytety zagrożeniom: model zagrożeń OWASP
- Używanie inteligencji zagrożeń do zapobiegania zagrożeniom
- Czym są zagrożenia cyberbezpieczeństwa?
- Jakie są główne typy zagrożeń bezpieczeństwa cybernetycznego?
- Dystrybuowana odmowa usługi (DDoS)
- Atak typu „Man-in-the-middle” (MitM)
- Ataki socjotechniczne
- Ataki typu malware i spyware
- Ataki na hasła
- Zaawansowane trwałe zagrożenia (APT)
- Źródła zagrożeń cybernetycznych
- Top Cyber security Issues and Trends
- Top Cyber security Challenges
- Priorytetyzacja zagrożeń cybernetycznych: Model zagrożeń OWASP
- Używanie informacji o zagrożeniach do zapobiegania zagrożeniom
- Learn More About Cyber Security Threats
- Zobacz nasze dodatkowe przewodniki dotyczące bezpieczeństwa informacji
- Przewodnik po bezpieczeństwie SIEM
- User and entity behavior analytics Guide
- Przewodnik po zagrożeniach wewnętrznych
- Security Operations Centers Guide
- DDLP Guide
- Przewodnik reakcji na incydenty
Czym są zagrożenia cyberbezpieczeństwa?
Zagrożenia bezpieczeństwa cybernetycznego odzwierciedlają ryzyko doświadczenia ataku cybernetycznego. Cyberatak jest celowym i złośliwym działaniem organizacji lub osoby fizycznej mającym na celu naruszenie systemów innej organizacji lub osoby. Motywy napastnika mogą obejmować kradzież informacji, zysk finansowy, szpiegostwo lub sabotaż.
Jakie są główne typy zagrożeń bezpieczeństwa cybernetycznego?
Główne typy zagrożeń cybernetycznych to:
- Dystrybuowana odmowa usługi (DDoS)
- Man in the Middle (MitM)
- Inżynieria społeczna
- Malware i oprogramowanie szpiegowskie
- Ataki na hasła
- Zaawansowane trwałe zagrożenia (APT)
Każde z tych zagrożeń omawiamy bardziej szczegółowo poniżej.
Dystrybuowana odmowa usługi (DDoS)
Celem ataku typu odmowa usługi (DoS) jest przeciążenie zasobów systemu docelowego i spowodowanie, że przestanie on działać, uniemożliwiając dostęp jego użytkownikom. Rozproszona odmowa usługi (DDoS) jest odmianą ataku DoS, w którym napastnicy narażają na szwank dużą liczbę komputerów lub innych urządzeń i wykorzystują je do skoordynowanego ataku na system docelowy.
Ataki DDoS są często stosowane w połączeniu z innymi zagrożeniami cybernetycznymi. Ataki te mogą wywoływać odmowę usługi, aby przykuć uwagę pracowników ochrony i wywołać zamieszanie, podczas gdy przeprowadzają bardziej subtelne ataki mające na celu kradzież danych lub spowodowanie innych szkód.
Metody ataków DDoS obejmują:
- Botnety – systemy pod kontrolą hakerów, które zostały zainfekowane złośliwym oprogramowaniem. Atakujący używają tych botów do przeprowadzania ataków DDoS. Duże botnety mogą obejmować miliony urządzeń i mogą przeprowadzać ataki na niszczycielską skalę.
- Atak smerfa – wysyła żądania echa protokołu ICMP (Internet Control Message Protocol) na adres IP ofiary. Żądania ICMP są generowane z „wyłudzonych” adresów IP. Atakujący automatyzują ten proces i wykonują go na dużą skalę w celu przeciążenia systemu docelowego.
- Atak TCP SYN flood – atak zalewa system docelowy żądaniami połączenia. Gdy system docelowy próbuje dokończyć połączenie, urządzenie atakującego nie odpowiada, zmuszając system docelowy do przekroczenia czasu. W ten sposób kolejka połączeń szybko się zapełnia, uniemożliwiając legalnym użytkownikom nawiązanie połączenia.
Dwa poniższe ataki są obecnie mniej powszechne, ponieważ opierają się na lukach w protokole internetowym (IP), które zostały wyeliminowane w większości serwerów i sieci.
- Atak Teardrop – powoduje, że pola długości i przesunięcia fragmentacji w pakietach IP nakładają się na siebie. System będący celem ataku próbuje zrekonstruować pakiety, ale nie udaje mu się to, co może spowodować awarię.
- Atak Ping of death – wysyła do systemu docelowego nieprawidłowo sformatowane lub zbyt duże pakiety IP, powodując awarię lub zawieszenie systemu docelowego.
Atak typu „Man-in-the-middle” (MitM)
Kiedy użytkownicy lub urządzenia uzyskują dostęp do zdalnego systemu przez Internet, zakładają, że komunikują się bezpośrednio z serwerem systemu docelowego. W ataku MitM napastnicy łamią to założenie, umieszczając się między użytkownikiem a serwerem docelowym.
Po przechwyceniu komunikacji napastnik może być w stanie naruszyć dane uwierzytelniające użytkownika, wykraść poufne dane i zwrócić użytkownikowi różne odpowiedzi.
Ataki MitM obejmują:
- Porwanie sesji – napastnik porywa sesję między serwerem sieciowym a klientem. Atakujący komputer zastępuje swój adres IP adresem IP klienta. Serwer wierzy, że koresponduje z klientem i kontynuuje sesję.
- Atak odtwarzający – cyberprzestępca podsłuchuje komunikację sieciową i odtwarza wiadomości w późniejszym czasie, udając użytkownika. Ataki polegające na odtwarzaniu zostały w dużej mierze ograniczone poprzez dodanie znaczników czasu do komunikacji sieciowej.
- Spofing IP – atakujący przekonuje system, że koresponduje z zaufaną, znaną jednostką. System w ten sposób zapewnia atakującemu dostęp. Atakujący fałszuje swój pakiet podając adres źródłowy IP zaufanego hosta, a nie swój własny adres IP.
- Atak podsłuchowy – atakujący wykorzystują niezabezpieczoną komunikację sieciową, aby uzyskać dostęp do informacji przesyłanych między klientem a serwerem. Ataki te są trudne do wykrycia, ponieważ transmisje sieciowe wydają się zachowywać normalnie.
Ataki socjotechniczne
Ataki socjotechniczne polegają na psychologicznej manipulacji użytkownikami w celu wykonania działań pożądanych przez atakującego lub ujawnienia poufnych informacji.
Ataki socjotechniczne obejmują:
- Phishing-atakujący wysyłają oszukańczą korespondencję, która wydaje się pochodzić z legalnych źródeł, zwykle za pośrednictwem poczty elektronicznej. E-mail może nakłaniać użytkownika do wykonania ważnej czynności lub kliknięcia odsyłacza do złośliwej witryny, co prowadzi do przekazania poufnych informacji atakującemu lub narażenia się na pobranie złośliwych plików. Wiadomości phishingowe mogą zawierać załącznik zainfekowany złośliwym oprogramowaniem.
- Spear phishing – odmiana phishingu, w której atakujący celują w osoby posiadające uprawnienia lub wpływy w zakresie bezpieczeństwa, takie jak administratorzy systemów lub kadra kierownicza wyższego szczebla.
- Ataki homograficzne – atakujący tworzą fałszywe witryny internetowe o adresach bardzo podobnych do prawdziwych witryn. Użytkownicy wchodzą na te fałszywe strony internetowe, nie zauważając niewielkiej różnicy w adresie URL, i mogą przekazać swoje dane uwierzytelniające lub inne poufne informacje atakującemu.
Ataki typu malware i spyware
Ataki wykorzystują wiele metod, aby wprowadzić złośliwe oprogramowanie do urządzenia użytkownika. Użytkownicy mogą zostać poproszeni o podjęcie działania, takiego jak kliknięcie łącza lub otwarcie załącznika. W innych przypadkach złośliwe oprogramowanie wykorzystuje luki w przeglądarkach lub systemach operacyjnych, aby zainstalować się bez wiedzy lub zgody użytkownika.
Po zainstalowaniu złośliwego oprogramowania może ono monitorować działania użytkownika, wysyłać poufne dane do atakującego, pomagać atakującemu w penetracji innych celów w sieci, a nawet powodować, że urządzenie użytkownika będzie uczestniczyć w botnecie wykorzystywanym przez atakującego w złych zamiarach.
Ataki socjotechniczne obejmują:
- Wirus trojański – oszukuje użytkownika, że jest to nieszkodliwy plik. Trojan może przeprowadzić atak na system i ustanowić backdoora, którego mogą użyć napastnicy.
- Ransomware – uniemożliwia dostęp do danych ofiary i grozi ich usunięciem lub opublikowaniem, jeśli nie zostanie zapłacony okup.
- Malvertising – reklama internetowa kontrolowana przez hakerów, która zawiera złośliwy kod infekujący komputer użytkownika po kliknięciu lub nawet tylko obejrzeniu reklamy. Malvertising został znaleziony w wielu wiodących publikacjach internetowych.
- Złośliwe oprogramowanie typu Wiper – ma na celu niszczenie danych lub systemów poprzez nadpisywanie wybranych plików lub niszczenie całego systemu plików. Wipery są zwykle przeznaczone do wysyłania wiadomości politycznych lub ukrywania działań hakerów po eksfiltracji danych.
- Drive-by downloads – atakujący mogą włamać się na strony internetowe i wstawić złośliwe skrypty do kodu PHP lub HTTP na stronie. Kiedy użytkownicy odwiedzają stronę, złośliwe oprogramowanie jest bezpośrednio instalowane na ich komputerach; lub skrypt atakującego przekierowuje użytkowników na złośliwą stronę, która wykonuje pobieranie. Drive-by downloads wykorzystują luki w przeglądarkach lub systemach operacyjnych.
- Nieuczciwe oprogramowanie zabezpieczające – udaje, że skanuje w poszukiwaniu złośliwego oprogramowania, a następnie regularnie pokazuje użytkownikowi fałszywe ostrzeżenia i wykrycia. Atakujący mogą poprosić użytkownika o zapłacenie za usunięcie fałszywych zagrożeń z komputera lub za zarejestrowanie oprogramowania. Użytkownicy, którzy się do tego zastosują, przekazują atakującemu swoje dane finansowe.
Ataki na hasła
Haker może uzyskać dostęp do informacji o hasłach danej osoby, „węsząc” połączenie z siecią, stosując socjotechnikę, zgadując lub uzyskując dostęp do bazy danych haseł. Atakujący może „odgadnąć” hasło w sposób losowy lub systematyczny.
Ataki na hasła obejmują:
- Brute-force password guessing – atakujący używa oprogramowania do wypróbowania wielu różnych haseł, w nadziei na odgadnięcie prawidłowego. Oprogramowanie może wykorzystywać pewną logikę do próbowania haseł związanych z imieniem i nazwiskiem danej osoby, jej pracą, rodziną itp.
- Atak słownikowy – słownik popularnych haseł jest wykorzystywany do uzyskania dostępu do komputera i sieci ofiary. Jedną z metod jest skopiowanie zaszyfrowanego pliku z hasłami, zastosowanie tego samego szyfrowania do słownika regularnie używanych haseł i porównanie wyników.
Zaawansowane trwałe zagrożenia (APT)
Gdy osoba lub grupa uzyskuje nieautoryzowany dostęp do sieci i pozostaje niewykryta przez dłuższy czas, napastnicy mogą przenosić poufne dane, celowo unikając wykrycia przez personel bezpieczeństwa organizacji. Ataki APT wymagają wyrafinowanych napastników i wiążą się z dużym wysiłkiem, dlatego są zazwyczaj skierowane przeciwko państwom narodowym, dużym korporacjom lub innym bardzo cennym celom.
Źródła zagrożeń cybernetycznych
Po zidentyfikowaniu zagrożenia cybernetycznego ważne jest zrozumienie, kto jest podmiotem stanowiącym zagrożenie, a także jego taktyki, techniki i procedury (TTP). Typowe źródła zagrożeń cybernetycznych obejmują:
-
- Sponsorowane przez państwa ataki cybernetyczne mogą zakłócić komunikację, działalność wojskową lub inne usługi, z których obywatele korzystają na co dzień.
- Terroryści-terroryści mogą atakować cele rządowe lub wojskowe, ale czasami mogą również atakować cywilne strony internetowe w celu zakłócenia i spowodowania trwałych szkód.
- Szpiedzy przemysłowi-organizacje przestępcze i międzynarodowi szpiedzy korporacyjni prowadzą szpiegostwo przemysłowe i kradzieże pieniędzy. Ich głównym motywem jest motyw finansowy.
- Zorganizowane grupy przestępcze – grupy przestępcze infiltrują systemy w celu uzyskania korzyści pieniężnych. Zorganizowane grupy przestępcze wykorzystują phishing, spam i złośliwe oprogramowanie do kradzieży tożsamości i oszustw internetowych.
- Hakerzy – istnieje duża globalna populacja hakerów, począwszy od początkujących „script kiddies” lub osób korzystających z gotowych zestawów narzędzi do zwalczania zagrożeń, po zaawansowanych operatorów, którzy potrafią opracowywać nowe typy zagrożeń i unikać obrony organizacyjnej.
- Hacktivists-hacktivists to hakerzy, którzy penetrują lub zakłócają działanie systemów z powodów politycznych lub ideologicznych, a nie dla korzyści finansowych.
- Malicious insider-insiderzy stanowią bardzo poważne zagrożenie, ponieważ mają istniejący dostęp do systemów korporacyjnych oraz wiedzę na temat systemów docelowych i danych wrażliwych. Zagrożenia związane z wykorzystaniem informacji wewnętrznych mogą być niszczycielskie i bardzo trudne do wykrycia.
- Cyberszpiegostwo – to forma cyberataku, która polega na kradzieży tajnych lub wrażliwych danych intelektualnych w celu uzyskania przewagi nad konkurencyjną firmą lub podmiotem rządowym.
Top Cyber security Issues and Trends
As technology evolve, so do the threats and issues that security teams face. Poniżej przedstawiono kilka najważniejszych trendów i problemów związanych z bezpieczeństwem cybernetycznym.
Rosnąca rola sztucznej inteligencji (AI)
AI to miecz obosieczny; poprawia rozwiązania bezpieczeństwa, a jednocześnie jest wykorzystywana przez atakujących do obchodzenia tych rozwiązań. Częściowo powodem tego jest rosnąca dostępność AI. W przeszłości tworzenie modeli uczenia maszynowego było możliwe tylko wtedy, gdy miało się dostęp do znacznych budżetów i zasobów. Teraz jednak modele mogą być tworzone na osobistych laptopach.
Ta dostępność sprawia, że AI to narzędzie, które rozszerzyło się z wielkich cyfrowych wyścigów zbrojeń na codzienne ataki. Podczas gdy zespoły ds. bezpieczeństwa wykorzystują AI, aby spróbować wykryć podejrzane zachowanie, przestępcy używają jej do tworzenia botów, które podają się za ludzkich użytkowników, oraz do dynamicznej zmiany cech i zachowań złośliwego oprogramowania.
Luka w umiejętnościach w zakresie cyberbezpieczeństwa nadal rośnie
Od 2018 r. rośnie zaniepokojenie luką w umiejętnościach w zakresie cyberbezpieczeństwa. Po prostu nie ma wystarczającej liczby ekspertów ds. cyberbezpieczeństwa, aby wypełnić wszystkie potrzebne stanowiska. Ponieważ powstaje coraz więcej firm, a inne aktualizują swoje istniejące strategie bezpieczeństwa, liczba ta wzrasta.
Nowoczesne zagrożenia, od sklonowanych tożsamości do głęboko zakorzenionych fałszywych kampanii, są coraz trudniejsze do wykrycia i powstrzymania. Umiejętności w zakresie bezpieczeństwa wymagane do zwalczania tych zagrożeń wykraczają daleko poza samo zrozumienie, jak wdrożyć narzędzia lub skonfigurować szyfrowanie. Zagrożenia te wymagają zróżnicowanej wiedzy na temat szerokiej gamy technologii, konfiguracji i środowisk. Aby uzyskać te umiejętności, organizacje muszą zatrudnić wysokiej klasy ekspertów lub przeznaczyć zasoby na szkolenie swoich własnych.
Włamania do pojazdów i zagrożenia związane z Internetem rzeczy (IoT) na fali wznoszącej
Ilość danych zawartych w nowoczesnym pojeździe jest ogromna. Nawet samochody, które nie są autonomiczne, są wyposażone w szereg inteligentnych czujników. Obejmuje to urządzenia GPS, wbudowane platformy komunikacyjne, kamery i kontrolery AI. Domy, miejsca pracy i społeczności wielu ludzi są pełne podobnych inteligentnych urządzeń. Na przykład, asystenci osobiści wbudowani w głośniki są urządzeniami inteligentnymi.
Dane na tych urządzeniach mogą stanowić źródło wrażliwych informacji dla przestępców. Informacje te obejmują prywatne rozmowy, wrażliwe obrazy, informacje o śledzeniu oraz dostęp do wszelkich kont używanych z urządzeniami. Urządzenia te mogą być łatwo wykorzystane przez napastników do szantażu lub osiągnięcia osobistych korzyści. Na przykład, nadużywając informacji finansowych lub sprzedając informacje na czarnym rynku.
W szczególności w przypadku pojazdów, zagrożenie wyrządzenia szkody osobistej jest również bardzo realne. Gdy pojazdy są częściowo lub całkowicie kontrolowane przez komputery, atakujący mają możliwość włamania się do nich jak do każdego innego urządzenia. Może to umożliwić im wykorzystanie pojazdów jako broni przeciwko innym lub jako środka do wyrządzenia krzywdy kierowcy lub pasażerom.
Top Cyber security Challenges
Oprócz bardziej szczegółowych kwestii omówionych powyżej, istnieją również szersze wyzwania, przed którymi staje wiele zespołów zajmujących się cyberbezpieczeństwem. Poniżej przedstawiamy kilka najczęstszych bieżących wyzwań.
Urządzenia mobilne są trudne w zarządzaniu i zabezpieczeniu
Nawet jeśli ludzie nie przyjęli w pełni inteligentnych technologii, prawie każdy ma jakieś urządzenie mobilne. Powszechne są smartfony, laptopy i tablety. Urządzenia te są często wielozadaniowe, używane zarówno do pracy, jak i czynności osobistych, a użytkownicy mogą podłączać urządzenia do wielu sieci w ciągu dnia.
Ta obfitość i powszechność użycia sprawiają, że urządzenia mobilne są atrakcyjnym celem dla atakujących. Atakowanie nie jest niczym nowym, ale prawdziwym wyzwaniem jest brak pełnej kontroli nad urządzeniami ze strony zespołów bezpieczeństwa. Polityka Bring your own device (BYOD) jest powszechna, ale często nie obejmuje ona wewnętrznej kontroli lub zarządzania.
Często zespoły bezpieczeństwa są w stanie kontrolować to, co dzieje się z tymi urządzeniami tylko w obrębie sieci. Urządzenia mogą być przestarzałe, już zainfekowane złośliwym oprogramowaniem lub posiadać niewystarczające zabezpieczenia. Jedynym sposobem, jaki zespoły bezpieczeństwa mogą mieć na zablokowanie tych zagrożeń, jest odmowa połączenia, co nie jest praktyczne.
Złożoność środowiska chmury
Przy codziennym przenoszeniu się firm do zasobów chmury, wiele środowisk staje się coraz bardziej złożonych. Jest to szczególnie prawdziwe w przypadku środowisk hybrydowych i wielochmurowych, które wymagają rozległego monitorowania i integracji.
Z każdą usługą chmurową i zasobem, który jest włączony do środowiska, zwiększa się liczba punktów końcowych i szanse na błędną konfigurację. Dodatkowo, ponieważ zasoby znajdują się w chmurze, większość, jeśli nie wszystkie punkty końcowe są skierowane do Internetu, co daje dostęp atakującym na skalę globalną.
Aby zabezpieczyć te środowiska, zespoły ds. cyberbezpieczeństwa potrzebują zaawansowanych, scentralizowanych narzędzi i często większych zasobów. Obejmuje to zasoby do całodobowej ochrony i monitorowania, ponieważ zasoby działają i są potencjalnie podatne na ataki nawet po zakończeniu dnia pracy.
Wyrafinowane exploity phishingowe
Phishing to stara, ale nadal powszechna taktyka wykorzystywana przez atakujących w celu zdobycia wrażliwych danych, w tym danych uwierzytelniających i informacji finansowych. W przeszłości e-maile phishingowe były niejasne, często podszywały się pod autorytety o szerokiej bazie użytkowników. Na przykład, Facebook lub Netflix. Obecnie jednak, phishing często wykorzystuje inżynierię społeczną.
Wiele osób chętnie upublicznia duże ilości informacji o sobie, w tym o miejscu zamieszkania i pracy, hobby oraz lojalności wobec marki. Atakujący mogą wykorzystać te informacje do wysyłania ukierunkowanych wiadomości, zwiększając prawdopodobieństwo, że użytkownicy dadzą się nabrać na ich sztuczki.
Ataki sponsorowane przez państwo
W miarę jak coraz większa część świata przenosi się do sfery cyfrowej, rośnie liczba ataków na dużą skalę i ataków sponsorowanych przez państwo. Sieci hakerów mogą być teraz wykorzystywane i kupowane przez przeciwne państwa narodowe i grupy interesów w celu sparaliżowania systemów rządowych i organizacyjnych.
W przypadku niektórych z tych ataków, wyniki są łatwo widoczne. Na przykład, zidentyfikowano liczne ataki, które dotyczyły manipulowania wyborami. Inne jednak mogą pozostać niezauważone, po cichu zbierając poufne informacje, takie jak strategie wojskowe czy wywiad gospodarczy. W obu przypadkach zasoby finansujące te ataki umożliwiają przestępcom stosowanie zaawansowanych i rozproszonych strategii, które są trudne do wykrycia i zapobiegania
Priorytetyzacja zagrożeń cybernetycznych: Model zagrożeń OWASP
Liczba zagrożeń cybernetycznych szybko rośnie i nie jest możliwe, aby organizacje przygotowały się na wszystkie z nich. Aby pomóc w ustalaniu priorytetów działań związanych z cyberbezpieczeństwem, organizacja OWASP opracowała model oceny zagrożeń cybernetycznych, który można podsumować w następujący sposób:
Ryzyko = Prawdopodobieństwo + Wpływ
Rozważ prawdopodobieństwo wystąpienia cyberzagrożenia – jak łatwo jest atakującym przeprowadzić atak? Czy są tam napastnicy z odpowiednimi umiejętnościami? Na ile prawdopodobne jest wykrycie i złagodzenie zagrożenia?
Rozważ ponadto wpływ zagrożenia – jak wrażliwe są systemy, które mogą zostać dotknięte, jak cenne i wrażliwe są dane, które mogą zostać utracone, i ogólnie, jaki byłby finansowy lub związany z reputacją wpływ ataku?
Połączenie prawdopodobieństwa z wpływem pozwala zidentyfikować zagrożenia istotne dla organizacji i zapewnić jej ochronę.
Używanie informacji o zagrożeniach do zapobiegania zagrożeniom
Informacje o zagrożeniach to uporządkowane, wstępnie przeanalizowane informacje o atakach, które mogą zagrażać organizacji. Wywiad o zagrożeniach pomaga organizacjom zrozumieć potencjalne lub bieżące zagrożenia cybernetyczne. Im więcej informacji pracownicy działu bezpieczeństwa posiadają na temat podmiotów stanowiących zagrożenie, ich możliwości, infrastruktury i motywów, tym lepiej mogą bronić swojej organizacji.
Systemy wywiadu o zagrożeniach są powszechnie używane w połączeniu z innymi narzędziami bezpieczeństwa. Gdy system bezpieczeństwa zidentyfikuje zagrożenie, można je porównać z danymi wywiadu o zagrożeniach, aby natychmiast zrozumieć naturę zagrożenia, jego powagę oraz znane metody łagodzenia lub ograniczania zagrożenia. W wielu przypadkach dane wywiadu o zagrożeniach mogą pomóc w automatycznym blokowaniu zagrożeń – na przykład znane złe adresy IP mogą być przekazywane do zapory sieciowej w celu automatycznego blokowania ruchu ze skompromitowanych serwerów.
Dane wywiadu o zagrożeniach są zazwyczaj dostarczane w postaci kanałów. Istnieją darmowe kanały informacji o zagrożeniach, a także inne, dostarczane przez komercyjne instytucje badawcze zajmujące się bezpieczeństwem. Kilku dostawców dostarcza platformy wywiadu o zagrożeniach, które są wyposażone w liczne kanały wywiadu o zagrożeniach i pomagają zarządzać danymi o zagrożeniach oraz integrować je z innymi systemami bezpieczeństwa.
Learn More About Cyber Security Threats
Information Security Threats and Tools for Addressing Them
Współczesna wartość informacji sprawia, że jest ona pożądanym towarem i kuszącym celem kradzieży i sabotażu, co naraża osoby ją tworzące i wykorzystujące na ryzyko ataku. Przestępcy nieustannie znajdują nowe sposoby omijania narzędzi bezpieczeństwa, a twórcy zabezpieczeń starają się wyprzedzać ich działania, budując coraz inteligentniejsze rozwiązania.
Utrata informacji może wyrządzić firmie ogromne szkody, ale podejmując odpowiednie środki ostrożności i korzystając z właściwych narzędzi, można znacznie zminimalizować ryzyko. Czytaj dalej, aby dowiedzieć się, jakie rodzaje zagrożeń bezpieczeństwa informacji należy wziąć pod uwagę, w tym przykłady typowych zagrożeń, oraz jak można ograniczyć ryzyko.
Czytaj dalej: Information Security Threats and Tools for Addressing Them
Drive By Downloads: Czym są i jak ich unikać
Większość ludzi nie zastanawia się nad stronami internetowymi, które odwiedzają, szybko klikając i nie zwracając uwagi na to, czy łącze ich przekieruje lub czy używany jest bezpieczny protokół. Często nie stanowi to problemu, ale jeśli zdarzy ci się odwiedzić stronę, która została naruszona, twój system może zostać szybko zainfekowany przez drive by download.
Sprawdzimy, czym jest drive by download, jakie szkody może wyrządzić i omówimy niektóre strategie, które twoje centrum operacji bezpieczeństwa może wykorzystać, aby zminimalizować ryzyko.
Czytaj dalej: Drive By Downloads: Czym są i jak ich unikać
Cyberprzestępczość: Rodzaje, przykłady i co może zrobić Twoja firma
Cyberprzestępczość to druga strona cyberbezpieczeństwa – ogromne spektrum szkodliwych i nielegalnych działań prowadzonych przy użyciu komputerów i Internetu. Ten artykuł pomoże Ci zrozumieć cyberprzestępczość i jak bronić przed nią Twoją organizację.
Read more: Cyberprzestępczość: Types, Examples, and What Your Business Can Do
What is MITRE ATT&CK: An Explainer
MITRE ATT&CK to dostępna na całym świecie baza wiedzy na temat taktyk i technik przeciwników oparta na rzeczywistych obserwacjach cyberataków. Są one wyświetlane w matrycach, które są uporządkowane według etapów ataku, od początkowego dostępu do systemu do kradzieży danych lub przejęcia kontroli nad maszyną. Dostępne są matryce dla popularnych platform desktopowych – Linux, macOS i Windows – a także platform mobilnych.
Czytaj dalej: Co to jest MITRE ATT&CK: An Explainer
What is MITRE ATT&CK: An Explainer
The MITRE ATT&CK framework, model, and taxonomy provide a categorized and structured catalog of tactics (the „why” of an attack) and techniques (the „how” and sometimes the „what” of an attack). Związek pomiędzy taktykami i technikami jest zorganizowany i przedstawiony jako matryca ATT&CK. Filozofia modelu ATT&CK polega na tym, że koncentrując się na obronie przed udokumentowanymi zachowaniami zagrożeń i ustalając jej priorytety, można zrozumieć, zapobiegać i łagodzić te zagrożenia i ataki.
Czytaj dalej: Mitigating Security Threats with MITRE ATT&CK
Defending Against Ransomware: Zapobieganie, ochrona, usuwanie
Atak ransomware może być paraliżujący dla organizacji. Podczas ataku cyberprzestępcy blokują dostęp do plików lub sieci, twierdząc, że jeśli użytkownik zapłaci okup, dostęp zostanie przywrócony. Skuteczna strategia obrony przed oprogramowaniem ransomware jest niezbędna, aby zapobiec rozległym szkodom i musi obejmować trzy filary: zapobieganie, ochronę i szybkie usuwanie.
Czytaj dalej: Defending Against Ransomware: Zapobieganie, ochrona, usuwanie
Top 5 technik inżynierii społecznej i jak im zapobiegać
Inżynieria społeczna wykorzystuje najsłabsze ogniwo w łańcuchu bezpieczeństwa – naszych pracowników – aby uzyskać dostęp do sieci korporacyjnych. Atakujący stosują coraz bardziej wyrafinowane podstępy i manipulacje emocjonalne, aby skłonić pracowników, nawet wyższego szczebla, do ujawnienia poufnych informacji. Poznaj etapy ataku socjotechnicznego, dowiedz się, jakie są najważniejsze zagrożenia socjotechniczne według InfoSec Institute oraz poznaj najlepsze praktyki obrony przed nimi.
Czytaj dalej: Top 5 Social Engineering Techniques and How to Prevent Them
Privilege Escalation Detection: The Key to Preventing Advanced Attacks
Atakujący stają się coraz bardziej wyrafinowani, a zorganizowane grupy hakerów przeprowadzają zaawansowane ataki na atrakcyjne cele. Kluczowym elementem prawie wszystkich zaawansowanych ataków jest eskalacja przywilejów – próba przejęcia kontroli nad kontem, a następnie rozszerzenie przywilejów atakującego poprzez przejęcie kontroli nad większą liczbą kont lub zwiększenie poziomu przywilejów skompromitowanego konta.
Przeczytaj dalej, aby zrozumieć, jak działa eskalacja przywilejów, jak wykryć ją w swojej organizacji oraz jak chronić swoje systemy i powstrzymać zaawansowane ataki, zanim dotrą do najbardziej wrażliwych zasobów.
Czytaj dalej: Privilege Escalation Detection: The Key to Preventing Advanced Attacks
Koncepcje SIEM: Incydenty bezpieczeństwa
Incydenty bezpieczeństwa wskazują na niepowodzenie środków bezpieczeństwa lub naruszenie systemów lub danych organizacji. Obejmuje to wszelkie zdarzenia, które zagrażają integralności, dostępności lub poufności informacji. Przyczyny incydentów bezpieczeństwa obejmują naruszenia perymetru, cyberataki oraz zagrożenia wewnętrzne.
Incydenty zazwyczaj wymagają podjęcia działań przez administratora IT. Reagowanie na incydenty (IR) to zorganizowany proces, za pomocą którego organizacje bronią się przed incydentami bezpieczeństwa.
Czytaj dalej: SIEM Concepts: Incydenty bezpieczeństwa
Zobacz nasze dodatkowe przewodniki dotyczące bezpieczeństwa informacji
W celu uzyskania bardziej szczegółowych przewodników dotyczących dodatkowych tematów związanych z bezpieczeństwem informacji, takich jak naruszenia danych, zobacz poniżej:
Przewodnik po bezpieczeństwie SIEM
Bezpieczeństwo SIEM odnosi się do integracji SIEM z narzędziami bezpieczeństwa, narzędziami do monitorowania sieci, narzędziami do monitorowania wydajności, krytycznymi serwerami i punktami końcowymi oraz innymi systemami IT.
Zobacz najlepsze artykuły w naszym przewodniku po bezpieczeństwie SIEM
- 7 Open Source SIEMs: Funkcje vs. Ograniczenia
- Rozwiązania SIEM: How They Work and Why You Need Them
- Combating Cyber Attacks With SOAR
User and entity behavior analytics Guide
UEBA to skrót od User and Entity Behavior Analytics, czyli kategorii narzędzi bezpieczeństwa cybernetycznego, które analizują zachowania użytkowników i stosują zaawansowaną analitykę w celu wykrywania anomalii.
Zobacz najlepsze artykuły w naszym przewodniku User and Entity Behavior Analytics
- What Is UEBA and Why It Should Be an Essential Part of Your Incident Response
- User Behavior Analytics (UBA/UEBA): The Key to Uncovering Insider and Unknown Security Threats
- Profilowanie behawioralne: The Foundation of Modern Security Analytics
Przewodnik po zagrożeniach wewnętrznych
Zagrożenie wewnętrzne to złośliwe działanie przeciwko organizacji, które pochodzi od użytkowników mających legalny dostęp do sieci, aplikacji lub baz danych organizacji
Zobacz najlepsze artykuły w naszym przewodniku po zagrożeniach wewnętrznych
- Zwalczanie zagrożeń wewnętrznych za pomocą Data Science
- Wskaźniki zagrożeń wewnętrznych: Finding the Enemy Within
- How to Find Malicious Insiders: Tackling Insider Threats Using Behavioral Indicators
Security Operations Centers Guide
Centrum operacji bezpieczeństwa (SOC) to tradycyjnie fizyczny obiekt należący do organizacji, w którym mieści się zespół ds. bezpieczeństwa informacji.
Zobacz najlepsze artykuły w naszym przewodniku po centrach operacji bezpieczeństwa
- Jak zbudować centrum operacji bezpieczeństwa dla małych firm
- Role i obowiązki centrum operacji bezpieczeństwa
- SecOps: 7 Steps to : Taking DevOps One Step Further
- Data Breach Guide
DDLP Guide
DLP to podejście, którego celem jest ochrona informacji biznesowych. Zapobiega ono przenoszeniu przez użytkowników końcowych kluczowych informacji poza sieć.
Zobacz najlepsze artykuły w naszym przewodniku DLP
- Szablon polityki zapobiegania utracie danych
- Narzędzia zapobiegania utracie danych
- Połamania zabezpieczeń: What You Need to Know
Przewodnik reakcji na incydenty
Reagowanie na incydenty to podejście do obsługi naruszeń bezpieczeństwa.
Zobacz najlepsze artykuły w naszym przewodniku reakcji na incydenty
- The Complete Guide to CSIRT Organization: Jak zbudować zespół reagowania na incydenty
- Jak szybko wdrożyć skuteczną politykę reagowania na incydenty
- Plan reagowania na incydenty 101: Jak go zbudować, szablony i przykłady
Dodaj komentarz