`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Юрий Гудзь

Сапожник без сапог

+66
голосов

Как многие, наверное, уже слышали, подразделение безопасности корпорации EMC, компания RSA, подверглась кибер-атаке. Сама RSA признает, что злоумышленники проникли во внутреннюю сеть компании и получили доступ к информации внутренних систем. Что это за информация, какого рода, RSA не сообщает. Несмотря на то, что похищенная информация относится к двухфакторной аутентификации с использованием RSA SecurID, компания считает, что прямой угрозы атак на клиентов нет. Утверждается также, что никакая персональная информация о клиентах или сотрудниках компании не была похищена.

За сложной аббревиатурой Advanced Persistent Threat (APT), как назвали данную атаку в RSA, нет ничего необычного, страшного или заумного. Это название придумали для обозначения атаки с использованием нескольких источников нападения. В данном конкретном случае RSA пока не раскрывает деталей атаки, но речь может идти не только об атаке на внешний периметр, но также и о социальной инженерии, использовании троянских программ, подкупе сотрудников. Ведь речь идет о продуктах, которые используются не только частными, но также и государственными организациями. А время сейчас ой какое неспокойное.

Согласно исследованиям IDC, RSA контролирует около 70% рынка двухфакторной аутентификации. Таким образом, интерес к возможности компрометации доступа к различным внутренним сетям частных, и особенно государственных, организаций в сегодняшнем неспокойном мире может быть очень высок.

Сама по себе выемка информации у вендора еще не говорит о том, что под угрозой компрометации находятся все десятки миллионов SecurID, используемых в мире. Для успешной атаки на SecurID необходимо иметь информацию о компании, конкретном сотруднике, пин-коде SecurID, его серийный номер и его seed (секретный ключ).

Если допустить, что злоумышленники смогли получить информацию о клиентах, о компаниях. И если исходить из наихудшего, что они уже имеют секретные ключи всех SecurID, их серийные номера и информацию о клиентах RSA, то для успешной имитации сетевого соединения от имени другого пользователя им необходимо также получить информацию о конкретном пользователе каждого SecurID и его секретный пин-код.

В текущей ситуации возможны 3 сценария успешной атаки на конечных пользователей:

  1. Злоумышленник может попытаться проанализировать сессию пользователя для определения имени пользователя и пин-кода.
  2. Злоумышленник может использовать фишинг для получения имени пользователя и пин-кода.
  3. Злоумышленник может использовать троянские программы для получения имени пользователя и пин-кода.

Первый вариант возможен, но в силу технической сложности реализации и необходимости использования мощного оборудования, такая атака осуществима только с целью получения оправданной с точки зрения затрат выгоды. Например, для атаки на правительственные учреждения.

Два других варианта гораздо более вероятны, так как фишинг и троянские программы являются довольно распространенным явлением. С этими явлениями довольно успешно борются антивирусы. Но в который раз стоит отметить, что время антивирусов, как панацеи от хакерских атак, безвозвратно ушло. Сегодня, для эффективного противодействия потенциальным злоумышленникам необходимо предпринимать не только технические (антивирусы, firewall, IDS) но и организационные меры.

Например, регулярно проводить ознакомление и обучение сотрудников компании вопросам безопасности. Эта процедура простая и малозатратная. Если позволяют ресурсы, кадровые и финансовые, можно внедрять риск-менеджмент, выписывать и проводить проверки службой внутреннего аудита, заказывать тестирование внешнего периметра компании у сторонних организаций. Все эти процедуры требуют вложений, как в денежном выражении, так и в ресурсном.

Невозможно закрыться одним каким-то техническим решением, и чувствовать себя в безопасности. Вчера появился Интернет, и принес новые угрозы. Сегодня – Facebook, со своими каналами для утечки информации. Завтра появится еще что-нибудь. И уж точно это будет не «серебряная пуля», с помощью которой можно будет избавиться от всех проблем. Люди говорят: «Любовь – это вам не просто так, ею заниматься надо». Так и с безопасностью.

+66
голосов

Напечатать Отправить другу

Читайте также

По поводу обучения сотрудников... А может ввиду растущей ценности информационных активов предприятий как раз и не стоит лишний раз акцентировать на этом внимание широких масс? Чтобы, так сказать, не искушать. Потому что не секрет ведь, что ничего не возможно уберечь, если злоумышленник знает где и что надо брать\искать. И случай с RSA - лишнее тому подтверждение.

Нет. Обучать нужно не тому, что где лежит, а самим принципам бережного отношения к информации.
Например:
- нельзя называть имена и фамилии сотрудников компании незнакомым людям по телефону.
- нельзя записывать пароли на бумажке и приклеивать их к монитору.
- нельзя клацать на ссылки в сомнительных письмах и вводить свои имена и пароли на сомнительных сайтах и т.д. и т.п.
Подобное обучение направлено на защиту внутренней информации компании, но никак не ее разглашение.

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT