Խաբիր ինձ, եթե կարող ես. սոցիոտեխնիկական պենտեստի անցկացման առանձնահատկությունները

Պատկերացրեք այս իրավիճակը. Հոկտեմբերի ցուրտ առավոտ, դիզայնի ինստիտուտ Ռուսաստանի մարզերից մեկի մարզկենտրոնում։ Կադրերի բաժնից ինչ-որ մեկը գնում է ինստիտուտի կայքի թափուր աշխատատեղերի էջերից մեկը, որը տեղադրվել է մի քանի օր առաջ և այնտեղ տեսնում կատվի լուսանկարը: Առավոտն արագ դադարում է ձանձրալի լինել...

Այս հոդվածում Group-IB-ի աուդիտի և խորհրդատվական բաժնի տեխնիկական ղեկավար Պավել Սուպրունյուկը խոսում է գործնական անվտանգությունը գնահատող նախագծերում սոցիոտեխնիկական հարձակումների տեղի մասին, ինչ անսովոր ձևեր կարող են դրանք ընդունել և ինչպես պաշտպանվել նման հարձակումներից: Հեղինակը պարզաբանում է, որ հոդվածը կրում է գրախոսական բնույթ, սակայն, եթե որևէ ասպեկտ հետաքրքրում է ընթերցողներին, Group-IB փորձագետները պատրաստակամորեն կպատասխանեն մեկնաբանություններում տրված հարցերին։

Մաս 1. Ինչո՞ւ այդքան լուրջ:

Եկեք վերադառնանք մեր կատվին: Որոշ ժամանակ անց կադրերի բաժինը ջնջում է լուսանկարը (այստեղ և ներքևում գտնվող սքրինշոթերը մասամբ ռետուշացված են, որպեսզի իրական անունները չբացահայտվեն), բայց այն համառորեն վերադառնում է, այն նորից ջնջվում է, և դա տեղի է ունենում ևս մի քանի անգամ։ Կադրերի բաժինը հասկանում է, որ կատուն ամենալուրջ մտադրություններն ունի, նա չի ցանկանում հեռանալ, և նրանք օգնության են կանչում վեբ ծրագրավորողին՝ այն մարդուն, ով ստեղծել է կայքը և հասկանում է այն, և այժմ կառավարում է այն: Ծրագրավորողը գնում է կայք, հերթական անգամ ջնջում է նյարդայնացնող կատվին, պարզում, որ այն տեղադրվել է հենց Կադրերի բաժնի անունից, հետո ենթադրում է, որ կադրերի բաժնի գաղտնաբառը արտահոսել է որոշ առցանց խուլիգանների և փոխում է այն։ Կատուն այլեւս չի հայտնվում:

Ի՞նչ է եղել իրականում։ Ինստիտուտը ներառող ընկերությունների խմբի հետ կապված, Group-IB-ի մասնագետները ներթափանցման թեստավորում են անցկացրել Red Teaming-ին մոտ ձևաչափով (այլ կերպ ասած՝ սա ձեր ընկերության վրա թիրախային հարձակումների իմիտացիա է՝ օգտագործելով ամենաառաջադեմ մեթոդներն ու գործիքները: հաքերային խմբերի զինանոց): Մանրամասն խոսեցինք Red Teaming-ի մասին այստեղ. Կարևոր է իմանալ, որ նման թեստ անցկացնելիս կարելի է օգտագործել նախապես համաձայնեցված գրոհների շատ լայն շրջանակ, այդ թվում՝ սոցիալական ինժեներություն։ Հասկանալի է, որ կատվի տեղադրումն ինքնին տեղի ունեցողի վերջնական նպատակը չէր։ Եվ կար հետևյալը.

• ինստիտուտի կայքը տեղադրվել է հենց ինստիտուտի ցանցում գտնվող սերվերի վրա, այլ ոչ թե երրորդ կողմի սերվերների վրա.
• Հայտնաբերվել է HR բաժնի հաշվում արտահոսք (էլ․ մատյան ֆայլը գտնվում է կայքի սկզբում)։ Անհնար էր կառավարել կայքը այս հաշվի միջոցով, բայց հնարավոր էր խմբագրել աշխատանքի էջերը;
• Փոխելով էջերը՝ դուք կարող եք տեղադրել ձեր սկրիպտները JavaScript-ում: Սովորաբար նրանք էջերը դարձնում են ինտերակտիվ, բայց այս իրավիճակում նույն սկրիպտները կարող են գողանալ այցելուի զննարկիչից այն, ինչը տարբերել է HR բաժինը ծրագրավորողից, իսկ ծրագրավորողին պարզ այցելուից՝ կայքի նստաշրջանի նույնացուցիչը: Կատուն հարձակման ձգան էր և ուշադրություն գրավելու նկար: HTML վեբ կայքի նշագրման լեզվով այն այսպիսի տեսք ուներ. եթե ձեր պատկերը բեռնված է, JavaScript-ն արդեն գործարկված է, և ձեր աշխատաշրջանի ID-ն, ինչպես նաև ձեր բրաուզերի և IP հասցեի տվյալները, արդեն գողացվել են:
• Գողացված ադմինիստրատորի նիստի ID-ով հնարավոր կլիներ լիարժեք մուտք ունենալ կայք, PHP-ում հյուրընկալել գործարկվող էջեր և, հետևաբար, մուտք ունենալ դեպի սերվերի օպերացիոն համակարգ, այնուհետև դեպի տեղական ցանց, ինչը կարևոր միջանկյալ նպատակ էր: նախագիծը։

Հարձակումը մասամբ հաջող էր. ադմինիստրատորի նիստի ID-ն գողացվել էր, բայց այն կապված էր IP հասցեի հետ: Մենք չկարողացանք շրջանցել դա, մենք չկարողացանք բարձրացնել մեր կայքի արտոնությունները մինչև ադմինիստրատորի արտոնություններ, բայց մենք բարելավեցինք մեր տրամադրությունը: Վերջնական արդյունքը ի վերջո ստացվեց ցանցի պարագծի մեկ այլ հատվածում:

Մաս 2. Գրում եմ քեզ - էլ ի՞նչ։ Ես էլ եմ զանգում ու պտտվում քո գրասենյակում, ֆլեշ կրիչներ գցում:

Այն, ինչ տեղի ունեցավ կատվի հետ կապված իրավիճակում, սոցիալական ինժեներիայի օրինակ է, թեև ոչ այնքան դասական: Փաստորեն, այս պատմության մեջ ավելի շատ իրադարձություններ կային. կար և՛ կատու, և՛ ինստիտուտ, և՛ կադրերի բաժին, և՛ ծրագրավորող, բայց կային նաև նամակներ՝ պարզաբանող հարցերով, որոնք իբր «թեկնածուները» գրել էին հենց կադրերի բաժնին և անձամբ։ ծրագրավորողին՝ սադրելու նրանց գնալ կայքի էջ։

Խոսելով նամակների մասին. Սովորական էլ.փոստը, հավանաբար սոցիալական ճարտարագիտության իրականացման հիմնական միջոցը, մի քանի տասնամյակ չի կորցրել իր արդիականությունը և երբեմն հանգեցնում է ամենաանսովոր հետևանքների:

Հաճախ մեր միջոցառումներին պատմում ենք հետևյալ պատմությունը, քանի որ այն շատ բացահայտում է.

Սովորաբար սոցիալական ինժեներական նախագծերի արդյունքների հիման վրա վիճակագրություն ենք կազմում, որը, ինչպես գիտենք, չոր ու ձանձրալի բան է։ Ստացողների այնքան շատ տոկոսը բացել է կցորդը նամակից, այնքան շատերն են հետևել հղմանը, բայց այս երեքն իրականում մուտքագրել են իրենց օգտանունն ու գաղտնաբառը: Մեկ նախագծում մենք ստացանք մուտքագրված գաղտնաբառերի ավելի քան 100%-ը, այսինքն՝ ավելի շատ դուրս եկավ, քան ուղարկեցինք:

Դա տեղի ունեցավ այսպես. ֆիշինգի նամակ է ուղարկվել, իբր պետական ​​կորպորացիայի CISO-ից՝ «փոստային ծառայության փոփոխությունները շտապ փորձարկելու» պահանջով։ Նամակը հասել է տեխնիկական աջակցությամբ զբաղվող խոշոր գերատեսչության ղեկավարին։ Ղեկավարը շատ ջանասիրաբար կատարել է բարձրագույն մարմինների հրահանգները և դրանք փոխանցել բոլոր ենթականերին։ Ինքը՝ զանգերի կենտրոնը, բավականին մեծ է ստացվել։ Ընդհանրապես, իրավիճակները, երբ ինչ-որ մեկը «հետաքրքիր» ֆիշինգ նամակներ է ուղարկում իր գործընկերներին, և նրանք նույնպես բռնվում են, բավականին սովորական երևույթ է: Մեզ համար սա լավագույն արձագանքն է նամակ գրելու որակի վերաբերյալ:

Քիչ անց նրանք իմացան մեր մասին (նամակը վերցված է վտանգված փոստարկղում).

Հարձակման հաջողությունը պայմանավորված էր նրանով, որ փոստային առաքումը օգտագործեց հաճախորդի փոստային համակարգում առկա մի շարք տեխնիկական թերություններ: Այն կազմաձևված էր այնպես, որ հնարավոր էր ցանկացած նամակ ուղարկել կազմակերպության ցանկացած ուղարկողի անունից առանց թույլտվության, նույնիսկ ինտերնետից: Այսինքն, դուք կարող եք ձևանալ որպես CISO, կամ տեխնիկական աջակցության ղեկավար, կամ մեկ ուրիշը: Ավելին, փոստի ինտերֆեյսը, դիտելով «իր» տիրույթից տառերը, խնամքով տեղադրեց լուսանկար հասցեագրքից, որը բնականություն էր հաղորդում ուղարկողին։

Իրականում, նման հարձակումը առանձնապես բարդ տեխնոլոգիա չէ, այն փոստի կարգավորումներում շատ հիմնական թերության հաջող շահագործում է: Այն պարբերաբար վերանայվում է մասնագիտացված ՏՏ և տեղեկատվական անվտանգության ռեսուրսների վրա, սակայն, այնուամենայնիվ, դեռ կան ընկերություններ, որոնք ունեն այս ամենը: Քանի որ ոչ ոք հակված չէ մանրակրկիտ ստուգել SMTP փոստային արձանագրության ծառայության վերնագրերը, նամակը սովորաբար ստուգվում է «վտանգի» համար՝ օգտագործելով փոստի միջերեսում նախազգուշացնող պատկերակները, որոնք միշտ չէ, որ ցուցադրում են ամբողջ պատկերը:

Հետաքրքիր է, որ նմանատիպ խոցելիությունը գործում է նաև մյուս ուղղությամբ. հարձակվողը կարող է ձեր ընկերության անունից էլփոստ ուղարկել երրորդ կողմի ստացողին: Օրինակ, նա կարող է կեղծել ձեր անունից կանոնավոր վճարման հաշիվ-ապրանքագիր՝ ձեր փոխարեն նշելով այլ մանրամասներ: Բացի խարդախության դեմ և կանխիկացման խնդիրներից, սա, հավանաբար, սոցիալական ճարտարագիտության միջոցով փող գողանալու ամենահեշտ ձևերից մեկն է:

Բացի ֆիշինգի միջոցով գաղտնաբառերը գողանալուց, դասական սոցիոտեխնիկական հարձակումը գործարկվող հավելվածներ է ուղարկում: Եթե ​​այս ներդրումները հաղթահարեն անվտանգության բոլոր միջոցները, որոնցից շատերը սովորաբար ունեն ժամանակակից ընկերությունները, տուժողի համակարգչին կստեղծվի հեռահար մուտքի ալիք: Հարձակման հետևանքները ցուցադրելու համար ստացված հեռակառավարման վահանակը կարող է մշակվել մինչև հատկապես կարևոր գաղտնի տեղեկատվության հասանելիությունը: Հատկանշական է, որ հարձակումների ճնշող մեծամասնությունը, որոնք լրատվամիջոցներն օգտագործում են բոլորին վախեցնելու համար, սկսվում են հենց այսպես.

Մեր աուդիտի բաժնում, զվարճանալու համար, մենք հաշվարկում ենք մոտավոր վիճակագրություն. որքա՞ն է այն ընկերությունների ակտիվների ընդհանուր արժեքը, որոնց մուտք ենք ստացել Դոմենի ադմինիստրատորը, հիմնականում ֆիշինգի և գործարկվող հավելվածներ ուղարկելու միջոցով: Այս տարի այն հասել է մոտավորապես 150 միլիարդ եվրոյի։

Հասկանալի է, որ սադրիչ նամակներ ուղարկելն ու կայքերում կատուների լուսանկարները տեղադրելը սոցիալական ինժեներիայի միակ մեթոդները չեն։ Այս օրինակներում մենք փորձել ենք ցույց տալ հարձակման ձևերի բազմազանությունը և դրանց հետևանքները: Բացի նամակներից, պոտենցիալ հարձակվողը կարող է զանգահարել՝ անհրաժեշտ տեղեկատվություն ստանալու, թիրախային ընկերության գրասենյակում գործարկվող ֆայլերով մեդիա (օրինակ՝ ֆլեշ կրիչներ) ցրելու, պրակտիկանտ աշխատանք ստանալու, տեղական ցանց ֆիզիկական մուտք ստանալու համար։ CCTV տեսախցիկ տեղադրողի անվան տակ: Այս ամենը, ի դեպ, օրինակներ են մեր հաջողությամբ ավարտված նախագծերից։

Մաս 3. Ուսուցումը լույս է, բայց չսովորողը խավար է

Խելամիտ հարց է առաջանում՝ լավ, լավ, սոցիալական ինժեներություն կա, վտանգավոր է թվում, բայց ի՞նչ պետք է անեն ընկերությունները այս ամենի հետ կապված։ Օգնության է գալիս կապիտան Օբվիզը. դուք պետք է պաշտպանվեք ինքներդ ձեզ և համապարփակ կերպով: Պաշտպանության որոշ մասը ուղղված կլինի անվտանգության արդեն դասական միջոցներին, ինչպիսիք են տեղեկատվության պաշտպանության տեխնիկական միջոցները, մոնիտորինգը, գործընթացների կազմակերպչական և իրավական աջակցությունը, բայց հիմնական մասը, մեր կարծիքով, պետք է ուղղվի աշխատակիցների հետ ուղղակի աշխատանքին, քանի որ ամենաթույլ օղակը. Ի վերջո, որքան էլ դուք ուժեղացնեք տեխնոլոգիան կամ գրեք խիստ կանոնակարգեր, միշտ կգտնվի օգտատեր, ով կբացահայտի ամեն ինչ կոտրելու նոր միջոց։ Ավելին, ոչ կանոնակարգերը, ոչ տեխնոլոգիաները չեն կարող հետևել օգտագործողի ստեղծագործական թռիչքին, հատկապես, եթե նրան հուշում է որակավորված հարձակվողը:

Նախևառաջ կարևոր է ուսուցանել օգտատիրոջը. բացատրել, որ նույնիսկ նրա սովորական աշխատանքում կարող են առաջանալ իրավիճակներ՝ կապված սոցիալական ինժեներիայի հետ: Մեր հաճախորդների համար մենք հաճախ անցկացնում ենք դասընթացներ թվային հիգիենայի մասին՝ միջոցառում, որը սովորեցնում է ընդհանուր առմամբ հարձակումներին հակազդելու հիմնական հմտությունները:

Կարող եմ ավելացնել, որ պաշտպանության լավագույն միջոցներից մեկը կլինի ոչ թե տեղեկատվական անվտանգության կանոններն ընդհանրապես անգիր անելը, այլ իրավիճակը փոքր-ինչ կտրված գնահատելը.

1. Ո՞վ է իմ զրուցակիցը.
2. Որտեղի՞ց է նրա առաջարկը կամ խնդրանքը (նախկինում նման բան չի եղել, հիմա էլ հայտնվել է):
3. Ի՞նչ արտասովոր է այս խնդրանքը:

Նույնիսկ անսովոր տառատեսակի տառատեսակը կամ խոսքի ոճը, որն անսովոր է ուղարկողի համար, կարող է կասկածի շղթա առաջացնել, որը կկանգնեցնի հարձակումը: Անհրաժեշտ են նաև սահմանված հրահանգներ, բայց դրանք տարբեր կերպ են գործում և չեն կարող նշել բոլոր հնարավոր իրավիճակները: Օրինակ, տեղեկատվական անվտանգության ադմինիստրատորները գրում են, որ դուք չեք կարող մուտքագրել ձեր գաղտնաբառը երրորդ կողմի ռեսուրսներում: Իսկ եթե «ձեր», «կորպորատիվ» ցանցային ռեսուրսը գաղտնաբառ պահանջի: Օգտատերը մտածում է. «Մեր ընկերությունն արդեն ունի երկու տասնյակ ծառայություններ մեկ հաշիվով, ինչո՞ւ չունենալ ևս մեկը»: Սա հանգեցնում է մեկ այլ կանոնի. լավ կառուցվածքային աշխատանքային գործընթացն ուղղակիորեն ազդում է նաև անվտանգության վրա. եթե հարևան ստորաբաժանումը կարող է ձեզնից տեղեկատվություն պահանջել միայն գրավոր և միայն ձեր մենեջերի միջոցով, ապա «ընկերության վստահելի գործընկերոջից» անձը, անշուշտ, չի լինի: կարող է դա պահանջել հեռախոսով, սա ձեզ համար անհեթեթություն կլինի: Հատկապես պետք է զգույշ լինեք, եթե ձեր զրուցակիցը պահանջում է ամեն ինչ անել հենց հիմա, կամ «ASAP», ինչպես մոդայիկ է գրել։ Նույնիսկ նորմալ աշխատանքում այս իրավիճակը հաճախ առողջ չէ, իսկ հնարավոր հարձակումների դեպքում այն ​​ուժեղ ձգան է։ Բացատրելու ժամանակ չկա, գործարկեք իմ ֆայլը:

Մենք նկատում ենք, որ օգտատերերը միշտ թիրախավորվում են որպես սոցիոտեխնիկական հարձակման լեգենդներ փողի հետ կապված թեմաներով այս կամ այն ​​ձևով. առաջխաղացումների խոստումներ, նախապատվություններ, նվերներ, ինչպես նաև տեղեկություններ ենթադրաբար տեղական բամբասանքներով և ինտրիգներով: Այլ կերպ ասած, գործում են սովորական «մահացու մեղքերը»՝ շահույթի ծարավ, ագահություն և չափից ավելի հետաքրքրասիրություն:

Լավ վերապատրաստումը միշտ պետք է ներառի պրակտիկա: Հենց այստեղ կարող են օգնության հասնել ներթափանցման փորձարկման փորձագետները: Հաջորդ հարցը հետևյալն է՝ ի՞նչ և ինչպես ենք փորձարկելու։ Մենք Group-IB-ում առաջարկում ենք հետևյալ մոտեցումը. անմիջապես ընտրեք թեստավորման կենտրոնը. կա՛մ գնահատեք միայն իրենց օգտատերերի հարձակումների պատրաստությունը, կա՛մ ստուգեք ընկերության անվտանգությունը որպես ամբողջություն: Եվ փորձարկեք սոցիալական ինժեներական մեթոդների միջոցով, իրական հարձակումների նմանակում, այսինքն՝ նույն ֆիշինգը, գործարկվող փաստաթղթերի ուղարկումը, զանգերը և այլ տեխնիկա:

Առաջին դեպքում հարձակումը մանրակրկիտ նախապատրաստվում է հաճախորդի ներկայացուցիչների հետ՝ հիմնականում նրա ՏՏ և տեղեկատվական անվտանգության մասնագետների հետ։ Լեգենդները, գործիքները և հարձակման տեխնիկան հետևողական են: Հաճախորդն ինքն է տրամադրում հարձակման համար ֆոկուս խմբեր և օգտատերերի ցուցակներ, որոնք ներառում են բոլոր անհրաժեշտ կոնտակտները։ Բացառություններ են ստեղծվում անվտանգության միջոցառումների վերաբերյալ, քանի որ հաղորդագրությունները և գործարկվող բեռները պետք է հասնեն հասցեատիրոջը, քանի որ նման նախագծում միայն մարդկանց արձագանքներն են հետաքրքրում: Ցանկության դեպքում գրոհի մեջ կարող եք ներառել մարկերներ, որոնց միջոցով օգտատերը կարող է կռահել, որ սա հարձակում է, օրինակ՝ կարող եք մի քանի ուղղագրական սխալներ թույլ տալ հաղորդագրություններում կամ անճշտություններ թողնել կորպորատիվ ոճը պատճենելիս: Ծրագրի ավարտին ստացվում է նույն «չոր վիճակագրությունը». որ ֆոկուս խմբերն են արձագանքել սցենարներին և որքանով:

Երկրորդ դեպքում հարձակումն իրականացվում է զրոյական նախնական իմացությամբ՝ օգտագործելով «սև արկղ» մեթոդը։ Մենք ինքնուրույն հավաքում ենք տեղեկատվություն ընկերության, նրա աշխատակիցների, ցանցի պարագծի մասին, ստեղծում հարձակման լեգենդներ, ընտրում ենք մեթոդներ, փնտրում ենք թիրախային ընկերությունում օգտագործվող անվտանգության հնարավոր միջոցները, հարմարեցնում ենք գործիքները և ստեղծում սցենարներ: Մեր մասնագետներն օգտագործում են ինչպես դասական բաց կոդով հետախուզական (OSINT) մեթոդները, այնպես էլ Group-IB-ի սեփական արտադրանքը՝ Threat Intelligence, համակարգ, որը ֆիշինգին նախապատրաստվելիս կարող է երկար ժամանակահատվածում հանդես գալ որպես ընկերության մասին տեղեկատվության ագրեգատոր, ներառյալ՝ գաղտնի տեղեկատվություն: Իհարկե, որպեսզի հարձակումը տհաճ անակնկալ չդառնա, դրա մանրամասները նույնպես համաձայնեցվում են պատվիրատուի հետ։ Ստացվում է, որ դա լիարժեք ներթափանցման թեստ է, բայց հիմնված է լինելու առաջադեմ սոցիալական ինժեներիայի վրա։ Տրամաբանական տարբերակը այս դեպքում ցանցի ներսում գրոհի զարգացումն է, ընդհուպ մինչև ներքին համակարգերում ամենաբարձր իրավունքները ստանալը: Ի դեպ, նման կերպ մենք օգտագործում ենք սոցիոտեխնիկական հարձակումները Կարմիր թիմ, և որոշ ներթափանցման թեստերում: Արդյունքում հաճախորդը կստանա իր անվտանգության անկախ համապարփակ տեսլականը որոշակի տեսակի սոցիոտեխնիկական հարձակումներից, ինչպես նաև արտաքին սպառնալիքներից պաշտպանական գծի արդյունավետության (կամ հակառակը՝ անարդյունավետության) ցուցադրումը:

Խորհուրդ ենք տալիս այս դասընթացն անցկացնել տարին առնվազն երկու անգամ։ Նախ, ցանկացած ընկերությունում կա անձնակազմի շրջանառություն, և նախկին փորձը աստիճանաբար մոռացվում է աշխատակիցների կողմից: Երկրորդ, հարձակումների մեթոդներն ու տեխնիկան անընդհատ փոխվում են, ինչը հանգեցնում է անվտանգության գործընթացների և պաշտպանության գործիքների հարմարեցման անհրաժեշտությանը:

Եթե ​​խոսենք հարձակումներից պաշտպանվելու տեխնիկական միջոցների մասին, ապա ամենից շատ օգնում են հետևյալը.

• Ինտերնետում հրապարակված ծառայությունների վրա պարտադիր երկգործոն նույնականացման առկայությունը: Նման ծառայությունների թողարկումը 2019 թվականին առանց Single Sign On համակարգերի, առանց գաղտնաբառի կոպիտ ուժի պաշտպանության և առանց երկգործոն նույնականացման մի քանի հարյուր հոգանոց ընկերությունում հավասարազոր է «կոտրել ինձ» բաց կոչին։ Պատշաճ կերպով իրականացված պաշտպանությունը անհնարին կդարձնի գողացված գաղտնաբառերի արագ օգտագործումը և ժամանակ կտա ֆիշինգային հարձակման հետևանքները վերացնելու համար:
• Մուտքի վերահսկման վերահսկում, համակարգերում օգտագործողների իրավունքները նվազագույնի հասցնելու և յուրաքանչյուր խոշոր արտադրողի կողմից թողարկված անվտանգ արտադրանքի կազմաձևման ուղեցույցներին հետևելը: Սրանք հաճախ իրենց բնույթով պարզ են, բայց շատ արդյունավետ և դժվար իրագործելի միջոցառումներ, որոնք բոլորն այս կամ այն ​​չափով անտեսում են արագության համար։ Իսկ ոմանք այնքան անհրաժեշտ են, որ առանց դրանց պաշտպանության ոչ մի միջոց չի փրկի։
• Լավ կառուցված էլփոստի զտման գիծ: Հակասպամ, կցորդների ամբողջական սկանավորում վնասակար կոդի համար, ներառյալ դինամիկ փորձարկում ավազարկղերի միջոցով: Լավ պատրաստված հարձակումը նշանակում է, որ գործարկվող հավելվածը չի հայտնաբերվի հակավիրուսային գործիքների միջոցով: Sandbox-ը, ընդհակառակը, ամեն ինչ կփորձարկի իր համար՝ օգտագործելով ֆայլերը այնպես, ինչպես մարդը օգտագործում է դրանք։ Արդյունքում, հնարավոր վնասակար բաղադրիչը կբացահայտվի ավազատուփի ներսում կատարված փոփոխություններով:
• Նպատակային հարձակումներից պաշտպանության միջոցներ. Ինչպես արդեն նշվեց, դասական հակավիրուսային գործիքները չեն հայտնաբերի վնասակար ֆայլերը լավ պատրաստված հարձակման դեպքում: Ամենաառաջադեմ արտադրանքները պետք է ավտոմատ կերպով վերահսկեն ցանցում տեղի ունեցող իրադարձությունների ամբողջությունը՝ ինչպես առանձին հյուրընկալողի, այնպես էլ ցանցի ներսում տրաֆիկի մակարդակով: Հարձակումների դեպքում հայտնվում են իրադարձությունների շատ բնորոշ շղթաներ, որոնք կարելի է հետևել և դադարեցնել, եթե դուք ունեք մոնիտորինգ, որը կենտրոնացած է նման իրադարձությունների վրա:

Բնօրինակ հոդված հրատարակված «Տեղեկատվական անվտանգություն/Տեղեկատվական անվտանգություն» թիվ 6 ամսագրում, 2019 թ.

Source: www.habr.com