Вектори атак

Як насправді відбуваються атаки

Голлівуд показує хакерів, які шалено вводять зелений код у термінал. Реальність менш гламурна. Більшість порушень починається з одного з кількох загальних векторів атак:

Фішинг: Обман людини, щоб вона клікнула посилання, відкрила вкладення або ввела облікові дані на фальшивому сайті. Це досі найпоширеніший метод первинного доступу. Спір-фішинг (spear phishing) націлений на конкретну особу з персоналізованою приманкою.

Шкідливе програмне забезпечення (Malware): Програмне забезпечення, розроблене для завдання шкоди або отримання несанкціонованого доступу: ransomware шифрує ваші файли та вимагає викуп, трояни маскуються під легітимне програмне забезпечення, а черви автоматично поширюються по мережах.

Атаки на ланцюг постачання: Компрометація довіреного постачальника або програмної залежності. Атака SolarWinds у 2020 році впровадила шкідливий код у рутинне оновлення програмного забезпечення, що поширилося на 18 000 організацій, включаючи державні агентства США.

Атаки на облікові дані: Перебір паролів (brute force), stuffing облікових даних (credential stuffing — використання паролів, виточених з інших порушень), 或利用未更改的默认凭证。

Zero-Day Exploits: Атака на вразливість, про яку постачальник програмного забезпечення ще не знає. Такі атаки рідкісні, але руйнівні, оскільки для них немає доступного патчу.

Threat Actors and MITRE

Хто стоїть за атаками?

Не всі зловмисники однакові. Фахівці з кібербезпеки класифікують їх за мотивацією та можливостями:

Script Kiddies: Зловмисники з низьким рівнем навичок, які використовують готові інструменти. Вони завдають реальної шкоди, але не є витонченими.

Хактивісти: Мотивовані політичними або соціальними цілями. Вони дефейсують веб-сайти, витікають дані або запускають атаки типу «відмова в обслуговуванні», щоб привернути увагу до своєї позиції.

Кіберзлочинці: Мотивовані прибутком. Групи, що поширюють програмне забезпечення-вимагач, шахрайські схеми та брокери даних. Це організована злочинність, адаптована до Інтернету.

Державні актори (APT): Advanced Persistent Threats, що підтримуються урядами. Вони мають великі бюджети, власні інструменти та терпіння, вимірюване роками. Це шпигунство, саботаж інфраструктури та крадіжка інтелектуальної власності.

Інсайдери: Співробітники або підрядники з легітимним доступом, які зловживають ним, або зловмисно, або через недбалість.

MITRE ATT&CK Framework

MITRE ATT&CK — це загальнодоступна база знань, яка каталогізує реальні техніки зловмисників, організовані за фазами: початковий доступ, виконання, закріплення, підвищення привілеїв, латеральний рух, ексфільтрація та інші. Захисники використовують її для розуміння дій зловмисників на кожному етапі та побудови відповідних детекцій.

Брандмауери, VPN та IDS/IPS

Рівні захисту мережі

Мережева безпека полягає в контролі того, який трафік входить, виходить і переміщується в межах вашої мережі. Жоден пристрій не може зробити це самостійно: захист у глибину означає накладання кількох засобів контролю.

Брандмауери: Перша лінія захисту. Брандмауер аналізує мережевий трафік і дозволяє або блокує його, керуючись правилами. Базовий брандмауер фільтрує за IP-адресою і номером порту. Наступне покоління брандмауера (NGFW) аналізує вміст трафіку, а може й ідентифікувати конкретні застосунки.

VPN (Virtual Private Networks): Шифрують трафік між двома точками, створюючи захищений тунель через ненадійну мережу, наприклад, публічний інтернет. Віддалені працівники використовують VPN для доступу до внутрішніх ресурсів компанії, ніби вони перебувають на місці.

IDS/IPS (Intrusion Detection/Prevention Systems): IDS моніторить трафік і повідомляє про будь-які підозрілі події. IPS виконує те саме, але може автоматично блокувати трафік. IDS можна уявити як камеру спостереження, а IPS — як камеру спостереження з охоронцем, який може зачинити двері.

Network Segmentation: Поділ мережі на ізольовані зони, щоб у разі зламу в одній зоні він не легко поширювався на інші. Компрометована робоча станція з відділу маркетингу не повинна мати доступу до бази даних у відділі finance.

Zero Trust and DNS Security

Zero Trust Architecture

Традиційна мережева безпека дотримувалася моделі «замок і рів»: сильний захист периметра, але щойно ви опиняєтеся всередині, вам довіряють. Це катастрофічно не спрацьовує, коли зловмисник проникає за периметр: або коли периметр зникає, бо всі працюють з дому.

Zero Trust перевертає модель: ніколи не довіряй, завжди перевіряй. Кожен запит: незалежно від того, чи він надходить зсередини, чи ззовні мережі: має бути автентифікований, авторизований і зашифрований. Ключові принципи:

- Verify explicitly: Автентифікуйте та авторизуйте на основі всіх доступних даних: ідентичності, розташування, стану пристрою, сервісу чи робочого навантаження, класифікації даних.

- Least privilege access: Надавайте користувачам і системам лише мінімальні дозволи, які їм потрібні, і лише на той час, коли вони їм потрібні.

- Assume breach: Проектуйте системи так, ніби зловмисник уже всередині. Мінімізуйте радіус ураження будь-якого компрометації.

DNS Security

DNS перетворює доменні імена на IP-адреси. Зловмисники експлуатують це кількома способами: DNS-спуфінг перенаправляє користувачів на шкідливі сайти, DNS-тунелювання приховує витік даних у DNS-запитах, а доменне захоплення перехоплює легітимний домен. DNSSEC додає криптографічні підписи до DNS-відповідей, щоб запобігти підробці.

Атаки типу «Впровадження»

Коли застосунки стають поверхнею атаки

Захист мережі може бути ідеальним, але якщо сам застосунок має вразливості, зловмисники проходять прямо через парадні двері.

SQL-ін’єкція: зловмисник вставляє шкідливий SQL-код у поле введення. Якщо застосунок формує запити до бази даних шляхом конкатенації введених користувачем даних, зловмисник може прочитати, змінити або видалити всю базу даних. Приклад: введення ' OR 1=1 -- у форму входу може повністю обійти автентифікацію.

Міжсайтовий скриптинг (XSS): зловмисник впроваджує шкідливий JavaScript у веб-сторінку, яку переглядатимуть інші користувачі. Коли жертва завантажує сторінку, скрипт виконується в її браузері і може викрасти cookies сесії, перенаправити на фішингові сайти，或修改用户所见内容。

[BLOCK_TYPE appsec/injection]

OWASP Top 10: Проєкт Open Web Application Security Project публікує регулярно оновлюваний список найкритичніших ризиків безпеки вебзастосунків. Injection та XSS перебувають у списку понад десятиліття. Інші пункти включають порушення контролю доступу, неправильну конфігурацію безпеки та небезпечний дизайн. [BLOCK_TYPE appsec/injection]

[BLOCK_TYPE appsec/injection]

Виправлення для атак типу injection полягає не лише у фільтрації вхідних даних: це параметризовані запити (також називаються prepared statements). Замість побудови SQL-рядків з користувацьким вводом, ви передаєте вхідні дані як окремий параметр, який база даних сприймає як дані, а не як код. [BLOCK_TYPE appsec/injection]

Аутентифікація та безпечна розробка [BLOCK_TYPE appsec/auth_sdlc]

Правильна аутентифікація

Аутентифікація — це підтвердження того, що ви є тим, ким себе називаєте. Авторизація — це визначення того, що вам дозволено робити. Змішування цих двох концепцій є поширеним джерелом вразливостей.

Багатофакторна автентифікація (MFA): Потребує двох або більше факторів: щось, що ви знаєте (пароль), щось, що ви маєте (телефон або апаратний ключ), щось, що ви є (відбиток пальця). MFA блокує переважну більшість атак на основі облікових даних, оскільки викраденого пароля самого по собі недостатньо.

OAuth 2.0 та OpenID Connect: Стандарти для делегованої авторизації та автентифікації. Коли ви натискаєте «Увійти через Google», OAuth дозволяє додатку перевірити вашу особу через Google, не бачачи вашого пароля Google.

Безпечний життєвий цикл розробки програмного забезпечення (SDLC)

Безпеку неможливо додати після завершення розробки. Безпечний SDLC інтегрує безпеку на кожному етапі:

- Проектування: Моделювання загроз: що може піти не так?

- Розробка: Стандарти безпечного кодування, перегляд коду, інструменти статичного аналізу

- Тестування: Динамічний аналіз, пентестинг, фаззинг-тестування

- Розгортання: Захищені конфігурації, керування секретами

- Підтримка: Виправлення вразливостей, сканування вразливостей, оновлення залежностей

Життєвий цикл реагування на інциденти

Коли профілактика не спрацьовує

Ніякий захист не є досконалим. Коли відбувається витік даних, різниця між незначним інцидентом та катастрофою полягає в тому, наскільки швидко та ефективно ви реагуєте.

Стандартний життєвий цикл реагування на інциденти складається з шести фаз:

1. Підготовка: Сформуйте команду, визначте ролі, створіть playbook'и, проводьте tabletop-вправи. Це відбувається до будь-якого інциденту. Непідготовлена команда марнує критичні години, розбираючись, хто що робить.

2. Виявлення та аналіз: Визначте, що інцидент відбувається, і встановіть його масштаби. Саме тут SIEM (Security Information and Event Management) системи агрегують логи з усього середовища та сигналізують про підозрілі патерни. Аналітики SOC (Security Operations Center) цілодобово триажать ці алерти.

3. Стримування: Зупиніть кровотечу. Короткострокове стримування може означати ізоляцію зараженої машини від мережі. Довгострокове стримування може означати побудову чистого паралельного середовища під час розслідування.

4. Eradication: Повністю видалити присутність зловмисника: шкідливе програмне забезпечення, бекдори, скомпрометовані облікові записи та механізми збереження доступу.

5. Recovery: Відновити нормальну роботу систем. Перевірити, що середовище чисте. Здійснювати ретельний моніторинг на предмет ознак присутності зловмисника.

6. Lessons Learned: Найбільш нехтована фаза. Провести беззвинувачувальний пост-мортем: що сталося, як це було виявлено, що спрацювало, що не спрацювало, та які зміни допоможуть запобігти повторенню.

Incident Response Scenario

Scenario: Ransomware at 2 AM

Ви — черговий аналітик з інформаційної безпеки. О 2:14 ночі ваша SIEM-система спрацьовує: на кількох файлових серверах виявлено незвичайну активність шифрування. Протягом кількох хвилин співробітники європейського офісу повідомляють, що їхні файли замінено на повідомлення з вимогою викупу в розмірі 50 біткоїнів.

Ваш план реагування на інциденти передбачає ескалацію до керівника команди IR та виконання playbook для ransomware. CEO телефонує. Юридичний відділ запитує про обов’язки щодо повідомлень. Директор IT хоче знати, чи чисті резервні копії.

Уроки, засвоєні [BLOCK_TYPE ir/lessons]

Фаза, яку всі пропускають

Після того, як негайна криза буде подолана, фаза аналізу уроків визначає, чи організація справді покращиться. Беззвинувачувальний пост-мортем ставить питання: [BLOCK_TYPE ir/lessons]

- Який був початковий вектор доступу? [BLOCK_TYPE ir/lessons]

- Як довго зловмисник перебував у середовищі до виявлення (час перебування)? [BLOCK_TYPE ir/lessons]

- Які засоби контролю не спрацювали і чому? [BLOCK_TYPE ir/lessons]

- Які засоби контролю спрацювали?

- Які конкретні, вимірювані зміни допоможуть запобігти повторенню?

Слово безвинний має значення. Якщо люди бояться покарання, вони приховують помилки. Якщо вони приховують помилки, організація ніколи не навчається. Мета — виправляти системи, а не карати індивідів.

Середній час перебування зловмисників у системі під час атак типу ransomware скоротився за останні роки, але для інших типів атак зловмисники часто залишаються непоміченими протягом тижнів або місяців. Швидкість виявлення є однією з найважливіших метрик у роботі служб безпеки.

Кар'єрні шляхи в кібербезпеці

Куди веде це знання

У кібербезпеці величезний дефіцит кадрів: сотні тисяч незаповнених вакансій у всьому світі. Галузь пропонує безліч кар'єрних шляхів для різних типів особистості та наборів навичок:

SOC Analyst: Перша лінія оборони. Аналітики SOC працюють позмінно, моніторять алерти, триажать інциденти та ескалюють загрози. Це найпоширеніший вхід у кібербезпеку. Очікуйте змінну роботу та високу втому від алертів, але це швидко формує глибокі практичні знання.

Penetration Tester (Pentester): Вам платять за те, щоб проникати в організації з їхнього дозволу. Ви знаходите вразливості раніше за зловмисників. Потрібні глибокі технічні навички в мережах, веб-застосунках та операційних системах. Творче розв’язання проблем є обов’язковим.

Security Engineer: Проєктує та будує захисну інфраструктуру: фаєрволи, SIEM-системи、платформи ідентифікації, системи шифрування. Це роль будівельника. Сильний зв’язок з DevOps та хмарною інженерією.

Digital Forensics and Incident Response (DFIR): Слідчі. Коли відбувається витік даних, фахівці з DFIR реконструюють, що саме сталося, як і коли. Потрібна ретельна увага до деталей та комфортна робота з юридичними процесами та доказами.

Сертифікації

Сертифікації не є обов’язковими, але вони відкривають двері:

- CompTIA Security+: Стандартна сертифікація початкового рівня в індустрії. Охоплює базові концепції безпеки. Добрий старт.

- OSCP (Offensive Security Certified Professional): Практична сертифікація з тестування на проникнення. У вас є 24 години, щоб зламати кілька машин у лабораторії. Високо цінується та справді складна.

- CISSP (Certified Information Systems Security Professional): Сертифікація управлінського рівня, що охоплює стратегію безпеки, управління ризиками та корпоративне управління. Вимагає п’яти років досвіду. Широко потрібна для старших та керівних посад.

Ваш менталітет безпеки

Підсумок

Ви пройшли значний шлях: тріада CIA, суб’єкти загроз і вектори атак, захист мережі та zero trust, безпека додатків та атаки на основі ін’єкцій, реагування на інциденти від виявлення до аналізу уроків, а також кар’єрні шляхи, які дозволяють застосувати все це на практиці.

Основний принцип захисту в глибину полягає в тому, що жоден окремий контроль не є достатнім. Ви накладаєте фаєрволи на сегментацію, сегментацію на моніторинг, моніторинг на реагування на інциденти, а все це — на підготовлених людей, які знають, що робити, коли щось не спрацьовує.

Зловмисникам достатньо знайти одну прогалину. Захисникам потрібно закрити їх усі. Ця асиметрія робить цю сферу одночасно складною та важливою.