Тема кибербеза не теряет актуальности, а напротив требует постоянного внимания, в том числе, в частной жизни. Резидент казанского ИТ‑парка — компания Innostage имеет полноценный Центр противодействия киберугрозам CyberART, сотрудники которого мониторят, предотвращают и расследуют хакерские атаки. В новой статье они рассказывают о самых популярных типах фиксируемых атак в России, какие из них сегодня перестали серьезно угрожать компаниям, и как можно надежно защитить все направления информационной безопасности.
Перечислим типы фиксируемых компьютерных атак на территории России в 2022 году:
Атаки типа отказ в обслуживании (DDoS) — это основной тип применяемых на сегодня атак. Основная цель — вывод систем из строя, либо сокрытие других видов атак. На сегодняшний день фиксируются различные виды и техники атак типа отказ в обслуживании. Результат успешно реализованных DDoS‑ атак — это полная или частичная недоступность ресурса в сети Интернет продолжительностью до нескольких часов.
Подмена содержимого характеризуется заменой содержимого информационного ресурса и размещением на нем какого‑либо вызывающего сообщения с целью пропаганды и нанесения репутационного ущерба владельцу сайта. Содержимое чаще всего заменяется на радикальные призывы, недостоверную информацию о ходе военной операции и действиях правительства.
Фишинговые рассылки — вид интернет‑мошенничества, основанный на методах социальной инженерии. Его цель — психологическое манипулирование людьми для совершения определенных действий или разглашения конфиденциальной информации. Это, например, проведение рассылок электронных писем от имени, похожего на наименования государственных и отраслевых регуляторных организаций, популярных брендов и компаний.
С помощью фишинга распространяются недостоверные сведения о прекращении работы или отзывах лицензий российских банков. Например, для усиления эффекта от DDoS‑атак за счет увеличения количества посетителей атакованных сайтов.
Внедрение вредоносного программного обеспечения (ВПО) в информационные системы различных организаций с целью проникновения в инфраструктуру, либо осуществления деструктивных действий (например, шифрование данных), направленных на ИТ‑инфраструктуру. Для внедрения ВПО злоумышленники используют методы социальной инженерии, отправляя жертвам фишинговые электронные письма, содержащие вредоносные вложения.
Перебор учетных записей (Brute Force) к сервисам удаленного доступа. Суть подхода заключается в последовательном автоматизированном переборе всех возможных комбинаций символов с целью найти правильное сочетание имени пользователя и пароля.
Как тут не вспомнить недавнюю новость о том, что 8 видеокарт RTX 4090 могут взломать почти любой 8-мизначный пароль всего за 39 минут! Пятизначный пароль можно подобрать еще быстрее — всего за 24 секунды. Наша рекомендация — устанавливать пароль минимум в 27 символов.
Автоматизированное сканирование информационных ресурсов с целью поиска на сетевых периметрах организаций критических уязвимостей и неправильно сконфигурированного ПО, которым могут воспользоваться хакеры для проникновения в инфраструктуру, либо компрометации данных и информационных систем.
Выполнение произвольного кода на Web‑сервере, примерами которого являются:
SQL‑injection, предоставляющая возможность атакующему выполнить произвольный запрос к базе данных, получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. Атака типа внедрения SQL возможна из‑за некорректной обработки входных данных, используемых в SQL‑запросах.
Межсайтовое выполнение сценариев (XSS) — атака на web‑системы, заключающаяся во внедрении в web‑страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с web‑сервером злоумышленника.
Как за год изменилась защищенность российских компаний?
До событий февраля 2022 года компании чувствовали себя достаточно защищенными, однако после обрушившегося шквала разного рода атак они поняли, что их уровень защищенности не соответствует требованиям информационной безопасности. При этом рост числа кибератак и систематические утечки данных постепенно сместили фокус на реальную безопасность и проактивные меры защиты, а не на формальное соответствие требованиям. Многие компании начали по‑настоящему беспокоиться о защите инфраструктуры.
Однако уровень защищенности компаний за год повысился лишь в некоторых направлениях. К примеру, благодаря Anti DDoS решениям «атаки типа отказ в обслуживании» перестали представлять серьезную угрозу компаниям. Но уровень атак шифровальщиком или же количество успешных фишинговых кампаний (социальная инженерия) не уменьшаются, поэтому, кроме технической защиты, нужно уделять внимание и организационным мероприятиям по повышению уровня знаний ИБ сотрудников и пользователей.
Несомненно, уровень защищенности компаний растет, но появляются новые угрозы, требующие дополнительного внимания. Нельзя утверждать, что уровень защищенности компаний повысился, пока российский рынок не сможет предложить достойную замену во всех направлениях информационной безопасности. Пока же компаниям важно непрерывно следить за защищенностью своей инфраструктуры, подключать системы защиты информации и настраивать мониторинг.
Расскажите, как в вашей компании защищаются от атак?
Комментарии (16)
3ycb
00.00.0000 00:00+2Как тут не вспомнить недавнюю новость о том, что 8 видеокарт RTX 4090 могут взломать почти любой 8-мизначный пароль всего за 39 минут! Пятизначный пароль можно подобрать еще быстрее — всего за 24 секунды. Наша рекомендация — устанавливать пароль минимум в 27 символов.
Или я тупой? Объясните. Как это сделать за 24сек/39мин? Надо же еще проверить подошло ли. Ввести в браузер, в аппликацию. Какие 39мин? А там обычная блокировка после нескольких неудачных попыток. ОК, значит пытают утекшую базу данных. Так ее еще спи@дить надо сначала. Далее, когда/у кого, вы в последний раз видели базу с паролями открытым текстом? Если такая и найдется, то эта контора ССЗБ и вообще не заслуживает, чтобы она существовала. Где я не прав? Обоснуйте.
BadHandycap
00.00.0000 00:00+3Меня больше удивляет безосновательная рекомендация увеличить пароль на 19 символов. Такое чувство что у них по офису бегает какой-то хомяк и каким-то образом выбирает случайные цифры, которые они потом складывают в числа и используют там где "подойдёт".
kkorsakov
00.00.0000 00:00Речь о подборе пароля имея на руках хеш.
3ycb
00.00.0000 00:00Еще сложнее. Надо его(хеш) поиметь. А он небось соленый. А он небось хэш от хэша, раз так 20. И что это меняет? Надо же еще проверить в системе, подошел ли вскрытый пароль. А если в системе задержка встроена между попыток?(это же элементарное, что приходит в голову даже полному профану в ИБ, как я) Я вообще не понимаю, как хакеры умудряются взламывать хоть что-то. Уверен, в большинстве историй, либо все в открытом виде было(что странно), либо социальная инженерия и фишинг(где жертва сама все выкладывает), либо, вообще инсайд(засланный казачок).
KOCTALEM
00.00.0000 00:00Не обижайтесь, но вы, по-видимому, действительно профан. Вы путаете 2 разные тактики -- подбор пароля в реальной системе (brute force, password spraying и другие подобные техники) и взлом пароля по имеющемуся хэшу. Например, хэши паролей из Active Directory имеют совершенно определённый формат, без всяких "небось". И для оффлайн-взлома NTLM-хэшей есть известные инструменты, как, впрочем, и для других форматов хэширования/шифрования.
В пассаже про "39 минут" авторы ссылаются на дискуссию по следам твита одного из авторов hashcat Сэма Кроули, где он опубликовал ссылку на результаты тестирования неразогнанной видеокарты nVidia RTX 4090 для взлома разных видов паролей. Полные результаты бенчмарка можно увидеть здесь: https://gist.github.com/Chick3nman/32e662a5bb63bc4f51b847bb422222fd
Кстати, об этом на Хабре писали.Исходя из этих результатов, один из комментаторов оценил время, необходимое для взлома пароля произвольного из 8 символов в наборе из 95 символов (большие и маленькие буквы латиницы, цифры, спецсимоволы) при помощи стойки из 8 видеокарт RTX 4090 в 39 минут. Насколько я знаю, в реале таких тестов не проводилось. Зато проводились тесты на RTX 3090.
Рекомендацию использовать 27-символьные пароли я комментировать не стану, хотя замечу, что при помощи менеджера паролей это делать совсем не сложно.
pae174
00.00.0000 00:00Надо же еще проверить подошло ли.
Браузер тут ни при чём. Скорости "взлома пароля" могут быть даны для случая взлома WiFi c WPA/PSK. В таком случае проверка сводится к поиску нескольких заранее известных байт в расшифрованном фрагменте "рукопожатия". Если байты после расшифровки найдены - значит это подходящий пароль, если нет - переходим к следующему паролю из словаря.
3ycb
00.00.0000 00:00Скорости «взлома пароля» могут быть даны для случая взлома WiFi c WPA/PSK
Aаа, я понял. Как в анекдоте: Правда ли, что Рабинович выиграл в рулетку в казино Лас-Вегаса миллион долларов? Правда. Но не в казино, а в очко и не в Лас-Вегасе, а в Одессе и не миллион, а тысячу и не долларов, а рублей и не выиграл, а проиграл. Взлом WiFi это да, это оч серьезный кейс. В догонку вопрос к обсуждаемому случаю: Если взломать 5-и значный пароль берет 24с, 8-и уже 39мин(т.е. в 100 раз медленнее), то сколько времени возьмет 11-и значный? 14-и значный? Чувствуете скорость замедления достижения результата? Может уже можно не волноваться, может пароль 27 чаров, черезчур?pae174
00.00.0000 00:00+1может пароль 27 чаров, черезчур
Хорошего пароля мало не бывает.
3ycb
00.00.0000 00:00Хорошего пароля мало не бывает.
Так чего тогда стесняться, почему не 100 символов? ;)
ilya_pu
00.00.0000 00:00Начиная с некоторого размера пароля, добавление новых символов не даёт рост защищённости. Скажем, у сложного пароля в 100 символов может оказаться "брат-близнец" в 32 символа с таким же хешем.
kvazimoda24
00.00.0000 00:00Странная статья. Смешали цели/результаты атак с механизмами достижения этих целей.
Gedeonych
00.00.0000 00:00Наша рекомендация — устанавливать пароль минимум в 27 символов
Не выдерживает никакой критики. На чём основана эта "рекомендация"? Криптостойкость пароля не достигается только бОльшим количеством символов, есть ещё масса других факторов. Интересен уровень "Команды Министерство цифрового развития Татарстана", если она на голубом глазу выдаёт такие необоснованные статьи.
Ну и хотя бы просто включим здравый смысл и вобьём в поисковик запрос. Смотрим. И видим навскидку первое попавшееся: рекомендации Microsoft для админов 365 - пароли не менее 14 символов. Вот это уже гораздо ближе к современным реалиям (без учета других факторов). Я даже не буду приводить ссылки на авторитетные в сфере криптографии источники, достаточно и вышеуказанного.
К примеру, благодаря Anti DDoS решениям «атаки типа отказ в обслуживании» перестали представлять серьезную угрозу компаниям.
А вот это уже совсем какие то розовые пони, извините меня. Даже слов нет, немое изумление. Это что, так серьёзно считают в "Центре противодействия киберугрозам"? Теперь я кажется начал понимать, почему так легко ложатся госресурсы постоянно, и чего на самом деле стоят госструктуры с такими пафосными названиями.
Принципиально не занимаюсь минусаторством и плюсаторством, но вот прямо-таки захотелось минус поставить.
nafame
00.00.0000 00:00эм... статья должна была отвечать на вопрос в заголовке, а не спрашивать в читателя.
JordanCpp
Да, да и ещё раз да. DYB3T-F2QYQ-9CRXR-DBC4V-CC4YG
Ds02006
Этот пароль не подходит - нет строчных букв.