Mutt
Professional
- Messages
- 1,458
- Reaction score
- 1,280
- Points
- 113
Представьте себе сценарий, в котором грабители врываются в ваш дом, но ничего не крадут и ничему не причиняют вреда внутри. Вместо этого эти грабители фотографируют все ваши драгоценности и личные вещи. Позже в тот же день вы получите письмо с копиями всех этих фотографий и тревожным сообщением: «Если вы хотите знать, как мы ворвались в ваш дом, пожалуйста, заплатите нам большие суммы денег».
Нет явной угрозы, что они снова ворвутся или выдадут фотографии ваших вещей, если вы не заплатите. Вместо этого просто скажите, что вы должны заплатить им, чтобы они поняли, как исправить ваши замки.
Теперь замените дом своей корпоративной сетью, а взломщиков - хакерами. И те фотографии, которые сделали грабители, теперь являются конфиденциальными корпоративными данными вашей организации.
Незапрошенные награды за ошибку
IBM Security определила активную кампанию, нацеленную на более чем 30 корпоративных организаций в течение последнего года. Эта злонамеренная тактика, которую исследователи назвали «вымогательством ошибок», используется для вымогательства у организаций крупных платежей на сумму свыше 30 000 долларов США для выявления недостатков веб-сайта, которые позволили злоумышленнику проникнуть в корпоративную сеть.
Важно отметить, что это не случаи, когда организация-жертва спонсировала программу вознаграждения за ошибки, которая разрешает эту деятельность. Все это делается под видом хорошего парня, хотя на самом деле это чистое вымогательство по шкале черных шляп. Атака осуществляется преступниками, которые делают вид, что хотят сделать что-то хорошее для организации, но требуют за это плату.
Эти преступники не боятся проникнуть в сеть организации для кражи данных. Они утверждают, что их методы доказывают, что система организации уязвима. Не уничтожая немедленно или не раскрывая данные организации, они демонстрируют этику (как белая шляпа), которая мешает им быть полной черной шляпой. Независимо от их обоснования, это кража данных и вымогательство - будь то якобы с добрыми намерениями или нет.
Браконьерство в действии
Процесс переманивания ошибок довольно прост и состоит из нескольких этапов:
Это не отменяет того факта, что злоумышленник украл данные организации и разместил их в сети, где другие потенциально могут их найти или где они могут быть опубликованы. Мягко говоря, доверять защиту конфиденциальных корпоративных данных неизвестным сторонам - особенно тем, кто без разрешения нарушил меры безопасности организации - не является лучшей практикой безопасности. Также непонятно, что злоумышленники просто не выпустят данные, платеж или отсутствие платежа.
Если вы стали жертвой браконьерства
Что делать, если вы стали жертвой браконьерской атаки? Во-первых, соберите всю имеющуюся у вас информацию об атаке, включая полученные вами электронные письма и журналы с ваших веб-серверов. Затем обратитесь в местные правоохранительные органы, ФБР или Интерпол. Предоставьте им как можно больше деталей.
Существует много споров о том, должна ли организация платить выкуп. Хотя в этом случае есть указание на то, что злоумышленник может предоставить подробную информацию об уязвимости после оплаты, можно утверждать, что это не всегда так. Организация будет способствовать киберпреступности.
Кроме того, платеж покупает для организации информацию только об одной уязвимости; есть большая вероятность, что там, где есть один путь эксплуатации, есть и другие. Наконец, тот факт, что эта организация уже платила выкуп, может обострить проблемы в будущем.
С другой стороны, можно было бы занять позицию, согласно которой компании с твердой позицией безопасности вообще не нужно платить выкуп. Криминалистическое расследование атаки и ее методологий может легко выявить использованный эксплойт, не заплатив злоумышленнику.
Ключевым моментом было бы использование журналов с вашего веб-сервера, но легкодоступность этих журналов может стать проблемой для многих организаций. Предприятия, которые не знают, как исследовать свои собственные журналы, могут получить помощь от служб экстренного реагирования и судебно-медицинской экспертизы.
Как я могу избежать этих атак?
Защита от этих типов атак зависит от использования стратегии глубокоэшелонированной защиты.
Хотя требования по переманиванию ошибок могут быть не такими серьезными, как изощренные атаки, при которых ваши данные могут быть представлены на форумах по кардинальному использованию или на сайтах вставки, вы должны относиться к ним столь же серьезно.
Нет явной угрозы, что они снова ворвутся или выдадут фотографии ваших вещей, если вы не заплатите. Вместо этого просто скажите, что вы должны заплатить им, чтобы они поняли, как исправить ваши замки.
Теперь замените дом своей корпоративной сетью, а взломщиков - хакерами. И те фотографии, которые сделали грабители, теперь являются конфиденциальными корпоративными данными вашей организации.
Незапрошенные награды за ошибку
IBM Security определила активную кампанию, нацеленную на более чем 30 корпоративных организаций в течение последнего года. Эта злонамеренная тактика, которую исследователи назвали «вымогательством ошибок», используется для вымогательства у организаций крупных платежей на сумму свыше 30 000 долларов США для выявления недостатков веб-сайта, которые позволили злоумышленнику проникнуть в корпоративную сеть.
Важно отметить, что это не случаи, когда организация-жертва спонсировала программу вознаграждения за ошибки, которая разрешает эту деятельность. Все это делается под видом хорошего парня, хотя на самом деле это чистое вымогательство по шкале черных шляп. Атака осуществляется преступниками, которые делают вид, что хотят сделать что-то хорошее для организации, но требуют за это плату.
Эти преступники не боятся проникнуть в сеть организации для кражи данных. Они утверждают, что их методы доказывают, что система организации уязвима. Не уничтожая немедленно или не раскрывая данные организации, они демонстрируют этику (как белая шляпа), которая мешает им быть полной черной шляпой. Независимо от их обоснования, это кража данных и вымогательство - будь то якобы с добрыми намерениями или нет.
Браконьерство в действии
Процесс переманивания ошибок довольно прост и состоит из нескольких этапов:
- Злоумышленник находит и использует уязвимости на веб-сайте организации. SQL-инъекция, по-видимому, является основным методом атаки, возможно, с использованием готовых инструментов тестирования на проникновение для обнаружения недостатков. (Примечание: до сих пор ни в одном из расследованных случаев не использовались существенные уязвимости нулевого дня, а скорее использовалась тактика, которую можно было бы легко предотвратить.)
- Как только они получают возможность получить конфиденциальные данные или информацию, позволяющую установить личность (PII), киберпреступники быстро извлекают все, что могут, и сохраняют их.
- Похищенные данные помещаются в облачное хранилище.
- В организацию отправляется электронное письмо со ссылкой на данные в качестве доказательства того, что злоумышленник проник в сеть.
- Злоумышленник запрашивает оплату банковским переводом, чтобы раскрыть способ кражи данных.
Это не отменяет того факта, что злоумышленник украл данные организации и разместил их в сети, где другие потенциально могут их найти или где они могут быть опубликованы. Мягко говоря, доверять защиту конфиденциальных корпоративных данных неизвестным сторонам - особенно тем, кто без разрешения нарушил меры безопасности организации - не является лучшей практикой безопасности. Также непонятно, что злоумышленники просто не выпустят данные, платеж или отсутствие платежа.
Если вы стали жертвой браконьерства
Что делать, если вы стали жертвой браконьерской атаки? Во-первых, соберите всю имеющуюся у вас информацию об атаке, включая полученные вами электронные письма и журналы с ваших веб-серверов. Затем обратитесь в местные правоохранительные органы, ФБР или Интерпол. Предоставьте им как можно больше деталей.
Существует много споров о том, должна ли организация платить выкуп. Хотя в этом случае есть указание на то, что злоумышленник может предоставить подробную информацию об уязвимости после оплаты, можно утверждать, что это не всегда так. Организация будет способствовать киберпреступности.
Кроме того, платеж покупает для организации информацию только об одной уязвимости; есть большая вероятность, что там, где есть один путь эксплуатации, есть и другие. Наконец, тот факт, что эта организация уже платила выкуп, может обострить проблемы в будущем.
С другой стороны, можно было бы занять позицию, согласно которой компании с твердой позицией безопасности вообще не нужно платить выкуп. Криминалистическое расследование атаки и ее методологий может легко выявить использованный эксплойт, не заплатив злоумышленнику.
Ключевым моментом было бы использование журналов с вашего веб-сервера, но легкодоступность этих журналов может стать проблемой для многих организаций. Предприятия, которые не знают, как исследовать свои собственные журналы, могут получить помощь от служб экстренного реагирования и судебно-медицинской экспертизы.
Как я могу избежать этих атак?
Защита от этих типов атак зависит от использования стратегии глубокоэшелонированной защиты.
- Регулярно проводите сканирование уязвимостей на всех своих внешних веб-сайтах. Также помните, что важен не только внешний вид: регулярное сканирование всех внутренних и внешних систем на уязвимости должно быть частью политики безопасности каждой компании.
- Тестирование на проникновение может помочь выявить уязвимости веб-приложений до того, как это сделают преступники.
- Используйте системы предотвращения вторжений и брандмауэры веб-приложений, чтобы обеспечить широкую защиту от атак через Интернет.
- Строго тестируйте и проверяйте весь код веб-приложений перед выпуском в производство.
- Предприятия, которые используют технологию SIEM и контролируют сетевые потоки, уже имеют преимущество в таких атаках, как браконьерство. Хранение и анализ этих журналов в централизованном хранилище может значительно сократить время, необходимое для выявления атак и их криминалистического анализа.
Хотя требования по переманиванию ошибок могут быть не такими серьезными, как изощренные атаки, при которых ваши данные могут быть представлены на форумах по кардинальному использованию или на сайтах вставки, вы должны относиться к ним столь же серьезно.
