Педагогические действия, направленные на противодействие угрозам в киберпространстве

По мнению специалистов по информационной безопасности и конфиденциальности технологии, которые сегодня работают для защиты компании, могут перестать быть эффективными завтра. Постоянно меняющиеся меры безопасности обусловлены не только внедрением новых технологий, но и быстрыми темпами адаптации и инноваций, которые демонстрируют злоумышленники. Злоумышленники используют новые уязвимости почти сразу же, как только исправляются существующие или возникают новые, создавая постоянную игру в догонялки между специалистами по безопасности и злоумышленниками. Наибольшую опасность вызывает факт существования подпольного рынка украденных электронных данных. Этот подпольный рынок достиг такого уровня, что хакеры могут зарабатывать большие деньги, используя небольшой набор специальных навыков таких как взлом почтового аккаунта, файрвола или браузера, а также взлом различных платных программных продуктов, стоимость которых для корпоративных нужд составляет сотни тысяч долларов. При этом рынок хакеров не регулируется властными структурами ни одного государства, что стирает границы для киберпреступности и значительно увеличивает предложение услуг. При этом используя просторы интернета организованные преступные группы совершают нападения и организованные компании не зависимо от места нахождения жертвы уг- розы вовлекая в сцену кибератаки участников из различных стран. Таким образом, растущий спрос на персональные и конфиденциальные данные подогревает растущий криминальный бум хакерской активности.

Неспособность существующих технических средств контроля обеспечить адекватную защиту от этих угроз придает большее значение обучение персонала и развитие культуры информационной безопасности разбирая такие угрозы в ходе учебных программ на встроенных или непрерывных курсах развития культуры информационной безопасности в организации. При этом обучение проходят все сотрудники организации без исключения, и даже те, кто относится к подразделениям информационной безопасности. Для сохранения эффективности программы повышения квалификации по культуре информационной безопасности в организации необходимо регулярно обновлять программы курса для соответствия современным нормативным документам регуляторов и современного уровня программных и аппаратных средств. За последние десятилетия усовершенствования защиты сетей и защиты операционных систем привели к тому, что злоумышленники изменили свои стратегии атак на использование программных приложений (таких как браузеры, текстовые процессоры и цифровые форматы, такие как PDF) и социаль- ные сети, часто объединяя эти атаки в смешанном режиме. угроза.

Поскольку компании используют преимущества Web 2.0, то есть интернет-приложения, программное обеспечение как услуги и облачные вычисления у злоумышленников появляются новые возможности для получения, изменения или уничтожения данных компании. Существующие технологические средства контроля пока не доказали свою эффективность в противодействии этим новым и быстро развивающимся угрозам. Существующие политики необходимо обновить или создать заново, а используемые методы должны быть скорректированы, чтобы обеспечить постоянную безопасность и конфиденциальность персональных и коммерческих данных. В настоящее время лучшим активом компании в защите конфиденциальных данных является персонал, который прошел обучение противодействию рискам, связанными с работой в мире Web 2.0.

Обычные пользователи часто хорошо разбираются в таких терминах, как брандмауэр и антивирус, они часто убеждены в том, что эти технологии обеспечивают практически непробиваемую защиту от всех потенциальных рисков атак. Пользователи обычно уверяли, что они были «в полной безопасности» при посещении Интернета, поскольку они были защищены популярной антивирусной программой. Имеющиеся в открытом доступе статистические обзоры киберпреступности по развитым странам, касающиеся безопасности в Интернете и утечки данных в 2019 году, показали, что хакеры используют вредоносное ПО для обхода средств защиты, заражения компьютеров и установления долгосрочного контроля или наблюдения за пользовательской активностью и / или сетевым трафиком, несмотря на распространенные бытовые версии антивирусных программ.

Не многие компании готовы искренне поделится накопленными результатами побед и поражений на этой сцене киберугроз.

Анализ открытых источников показывает [1], что большинство взломанных за- писей касается использования хакерских программ и вредоносных программ (93% и 89% соответственно). В то время, как только в 17% атак использовались «сложные» методы атаки, такие как вредоносные программы, в результате было нарушено более 94% всех записей. В этих атаках часто используется специально созданное вредоносное ПО, которое крайне сложно обнаружить и удалить с помощью современных средств контроля безопасности. Так можно вспомнить случай 2009 года, когда в платежной система Соединенных Штатов Heartland Payment Systems несколько раз получали уведомления от правоохранительных органов и отделов о мошенничестве с платежными картами и о том, что ее компьютерные сети, взломаны, однако первые два расследования компаний не обнаружили глубоко укоренившуюся вредоносную программу, скрывающуюся в неразмеченных секторах жесткого диска. Финалом этого вмешательства стали нарушение работы и потери более 650 банков.

Сотрудники должны знать, что текущее состояние технологий безопасности не обеспечивает полной защиты от современных атак, особенно от целевых атак. Причина этого (как правило, временного) пробела в защите проста: антивирусные компании должны наблюдать и собирать образцы вредоносного программного обеспечения в естественных условиях, прежде чем они смогут обновить свои программы для правильного обнаружения и / или удаления вредоносного программного обеспечения. И все же этот процесс не идеален.

Не менее опасными являются смешанные угрозы, атаки, использующие несколько вредоносных методов для достижения максимального вреда и быстрого заражения. По мере того, как корпорации экспериментируют с перемещением данных в облако или выходом в социальные сети, чтобы задействовать расширенную базу пользователей, пользователи обнаруживают, что взаимодействуют с новыми средами. Тем не менее, пользователи часто не знают о дополнительных векторах угроз, связанных с этими средами. Когда пользователи покидают хорошо охраняе- мые границы внутренней сети компании для доступа к службам Web 2.0, они часто делают это с помощью программных приложений, которые до сих пор оказались весьма уязвимыми. Интернет-браузеры, которые обычно являются средством выбора для доступа к службам Web 2.0, легко подвергаются риску и часто используются на ранних стадиях атаки. Основной вектор доступа к сервисам Web 2.0 является не надежным с точки зрения информационной безопасности. Наиболее распространенным методом доставки вредоносного ПО является сценарий, при котором злоумышленник скомпрометировал систему, а затем установил на нее вредоносное ПО. В то время как некоторые атаки требуют действий пользователя, таких как загрузка, установка или щелчок по пиктограмме, существует класс атак, называемых «атаками с диска», которые заражают компьютер без какого-либо вмешательства пользователя, кроме посещения зараженного сайта. Такие атаки входят в тройку наиболее распространенных в Web 2.0.

Чтобы минимизировать вероятность и потенциальный ущерб от современных вредоносных программ и смешанных угроз, отделы ИТ и информационной безопасности могут применять технологические средства управления, такие как:

– Периодически проверяйте права доступа пользователей и удаляйте ненужные.

– Периодически просматривайте журналы доступа на наличие признаков использования общих учетных данных.

– Предоставляте пользователям «усиленные» браузеры (или приложения Web 2.0).

– Предоставляте пользователям «изолированную» рабочую среду.

– Убедитесь, что процесс исправления распространяется как на операционные системы, так и на установленные приложения.

– Обеспечьте защиту пользователям дома и в дороге.

В то время как корпоративные пользователи обычно защищены несколькими уровнями технологий безопасности, пользователи дома или в дороге часто становятся более уязвимы.

Авторы работы [2] Арнасон и Уиллетт отмечают, что «эффективная программа безопасности способствует определению политики и реализации средств контроля, повышающих осведомленность носителей вредоносного ПО и способам безопасного использования их в качестве бизнес-инструмента».

В 2007 году Организация экономического и кооперативного развития [3] разработала рекомендации которые посвящены описанию характерных угроз безопасности для интернет-экономики, а также требования к программам повышения квалификации по информационной безопасности. Эффективные программы ИБИК должны включать следующие характеристики [4]:

• 1.    Использовать последовательную модель обучения. Одна из эффективных моделей обучения является метод Киркпатрика, названный в честь доктора Дональда Л. Киркпатрика, бывшего президента Американского общества обучения и развития. Эта модель предлагает четырехуровневую модель обучения, состоящую из реакции, обучения, поведения и результатов, которые могут помочь измерить эффективность программы обучения культуре информационной безопасности.

• 2.    Обучать пользователей и консультировать их по практике управления паролями (особенно во избежание использования общих учетных данных). Хотя может показаться заманчивым предоставить пользователям обычное обучение паролям. Простое требование к пользователям выбирать хорошие сложные пароли может привести к неожиданностям. Например, «(p@S$_W0rd).» является технически сложным паролем (состоящим из четырех классов символов: прописные, строчные, цифры, символы), но хакеру будет легко их подобрать. Опрос, проведенный охранной фирмой Sophos [5], показал, что треть респондентов использовали один и тот же пароль для всех веб-сайтов. Когда дело доходит до выбора паролей, пользователям следует показывать реальные примеры неправильного выбора, такие как список из 200 паролей наиболее часто встречающихся. Такой подход позволил вредонос-

• ному программному средству Conficker/Downadup (это тип вредоносного программного продукта) получить доступ к информационным системам жертв.

• 3.    Проводить целевое обучение по культуре информационной безопасности для пользователей, которые часто используют веб-приложения. Пользователи услуг Web 2.0 подвергаются большему риску, так как они должны периодически получать доступ или обновлять контент, используя технологии (браузеры), которые часто уязвимы для кибератак. Чтобы сбалансировать присущие уязвимости, присутствующие в технологиях просмотра веб-страниц, браузер должен быть дополнен «усиленным» и «изолированным доступом». Пользователи должны пройти специальное обучение, чтобы понимать возникающие небольшие изменения в работе браузера. Одним из примеров защищенного браузера является Firefox с плагином NoScript и с отключенным Javascript.

Программный продукт Sandboxie для веб-браузера – это эффективный способ смягчить многие из существующих эксплойтов, который часто используется и рекомендуется специалистами по безопасности. Sandboxie - это недорогая программа, которая обеспечивает изолированную программную среду безопасности для браузера (или любой другой прикладной программы), поэтому любые изменения на диске или в реестре будут стерты при закрытии браузера. Запустив пиктограмму Sandboxie на рабочем столе, вы откроете браузер по умолчанию в безопасной среде в песочнице (Sandboxie – пер. с анг.яз. «песочница»).

Девиз Sandboxie – «Не доверяй программе» [6]. Девиз работает исключительно на операционной системе Windows и претендует на отделение запущенных программ от базовой операционной системы.

Панель управления Sandboxie используется для обозначения конкретных программ, запускаемых в оболочке. Наиболее распространенные программы, представляющие наибольшую угрозу, такие как браузеры и почтовые программы, по умолчанию указаны в качестве параметров конфигурации, и при необходимости могут быть добавлены к другим приложениям.

Данные внутри Sandboxie уничтожаются, когда программа закрывается, но можно настроить Sandboxie так, чтобы важные данные не изменялись. Папки, содержащие электронные письма и закладки веббраузера, являются примерами данных, которые могут пережить удаление изолированной программной среды.

Эта программа предназначена для домашних пользователей, что отражается в ее невысокой цене.

Не смотря на то, что существует множество образовательных веб-сайтов по борьбе с киберугрозами, большинство пользователей вряд ли посещают их добровольно. Рассмотренные подходы показали удовлетворительные результаты при обучении персонала на краткосрочных корпоративных курсах повышения квалификации по программе развития культуры информационной безопасности.

Благодаря встроенному обучающему подходу неизбежен рост подозрительности пользователей, при сохранении их желания взаимодействовать с законными сообщениями в среде Web 2.0.

Представленный для рассмотрения встроенный подход к обучению позволяет проводить удобное и быстрое непрерывное обучение, при котором каждое описанное педагогическое действие выступает как механизм проведения обучения, а также как проверка того, научился ли пользовать отличать легитимные от нелигитим-ных сообщений среды Web 2.0.