Важно, чтобы люди и организации знали об этих типах атак и имели процедуры для их выявления и реагирования на них. Сюда может входить обучение сотрудников определению подозрительных электронных писем и телефонных звонков, а также внедрение технических средств контроля, таких как спам-фильтры и двухфакторная аутентификация, для предотвращения подобных инцидентов.
Инсайдерские угрозы относятся к инцидентам безопасности, которые проистекают изнутри организации, а не из внешних источников. Это может произойти в результате халатности, злого умысла или сочетания того и другого. Вот некоторые примеры внутренних угроз.
• Сотрудник намеренно или непреднамеренно передает конфиденциальную информацию посторонним лицам.
• Сотрудник намеренно или ненамеренно устанавливает вредоносное ПО в сети компании.
• Сотрудник намеренно или непреднамеренно злоупотребляет ресурсами компании.
• Сотрудник намеренно или непреднамеренно нарушает политику компании.
• Сотрудник намеренно или непреднамеренно пытается получить несанкционированный доступ к конфиденциальным данным.
Для организаций важно разработать меры обнаружения и предотвращения внутренних угроз, такие как мониторинг активности сотрудников, регулярное обучение по вопросам безопасности и внедрение контроля доступа к конфиденциальным данным. Кроме того, им важно иметь планы реагирования на инциденты для устранения внутренних угроз в случае их возникновения.
Инциденты физической безопасности относятся к ситуациям, связанным с угрозами или реальными нарушениями физической безопасности организации. Они могут варьироваться от стихийных бедствий до преступных действий, таких как взлом и вандализм. Примеры инцидентов физической безопасности:
• Стихийные бедствия, такие как наводнения, ураганы, торнадо и землетрясения, которые могут повредить или уничтожить объекты, оборудование и данные.
• Ущерб от огня и дыма, которые могут возникнуть в результате поджога, неисправности электрооборудования или по другим причинам.
• Угрозы взрыва или реальные взрывы, способные повредить здания и травмировать людей.
• Преступные действия, такие как взломы, кражи и вандализм, которые могут привести к утрате оборудования или данных.
• Саботаж, который может представлять собой акт преднамеренного повреждения либо уничтожения оборудования или данных.
• Похищение людей, взятие заложников или другие преступные действия, которые могут угрожать жизни людей и целостности имущества.
• Киберфизические атаки, такие как ICS-SCADA, которые могут нарушить или повредить физическую инфраструктуру.
Организациям важно иметь план реагирования на подобные инциденты физической безопасности и восстановления после них, чтобы минимизировать воздействие на свою деятельность и защитить активы и персонал. Обычно это предусматривает определение критически важных активов, оценку уязвимости и внедрение контрмер, таких как средства контроля физической безопасности, процедуры реагирования на инциденты и планы реагирования на чрезвычайные ситуации.
Стихийные бедствия и отключения электроэнергии могут значительно повлиять на деятельность организации. Примерами стихийных бедствий являются наводнения, ураганы, торнадо, землетрясения и лесные пожары. Эти события могут нанести ущерб зданиям и инфраструктуре, нарушить работу коммуникационных сетей и затруднить безопасный доступ сотрудников на рабочие места. Перебои в подаче электроэнергии могут быть вызваны как стихийными бедствиями, так и техногенными причинами, например сбоями оборудования или кибератаками на электросети. Подобные инциденты могут привести к потере данных, повреждению оборудования и полной остановке работы, что затрудняет дальнейшее предоставление услуг клиентам. Для организаций важно иметь план аварийного восстановления, чтобы обеспечить быстрое и эффективное реагирование на такие инциденты и минимизировать их последствия. Он может включать такие меры, как наличие резервных генераторов, удаленное хранение данных и оборудование мест аварийного восстановления.
Атака на цепь поставок — это вид кибернетической атаки, направленной на организацию и использующей уязвимости в цепи ее поставок. Этот тип атаки трудно обнаружить, а он может серьезно повлиять на деятельность и репутацию организации.
Примеры атак на цепочки поставок:
• Компания по производству программного обеспечения неосознанно включает вредоносное ПО в обновление одного из своих продуктов, которое затем распространяется среди всех ее клиентов.
• Система стороннего поставщика взломана, и в последующем его доступ к системам организации используется для атаки.
• Вредоносный агент проникает на завод, производящий оборудование для организации, и добавляет вредоносное ПО в оборудование перед его отправкой в организацию.
Эти виды атак могут быть особенно эффективными, поскольку позволяют злоумышленникам обойти традиционные меры безопасности, используя доверительные отношения и получая доступ к системам организации изнутри. Организациям необходимо знать о возможности атак на цепочки поставок и принимать меры по снижению риска, например тщательно проверять анкетные данные поставщиков и продавцов, внедрять надежные меры безопасности по всей цепочке поставок и регулярно отслеживать признаки компрометации.
Угрозы IoT (интернета вещей) и операционных технологий (ОТ) относятся к инцидентам безопасности, связанным с подключенными устройствами и системами, управляющими физическими процессами. Эти угрозы могут значительно повлиять на деятельность организации, а также на общественную безопасность. Примеры угроз IoT и OT:
• Кибератаки на промышленные системы управления, такие как системы управления электростанциями, водоочистными сооружениями и транспортными системами. Эти атаки могут нарушить или повредить физические процессы, которые контролируют эти системы.
• Ransomware, нацеленное на IoT-устройства, такие как медицинские приборы, умные дома и промышленное оборудование. Эти атаки способны препятствовать нормальному функционированию устройств, подвергая опасности жизни людей.
• Подделка устройств IoT с целью получения несанкционированного доступа к сетям или кражи конфиденциальных данных. Например, хакеры могут скомпрометировать видеокамеру системы безопасности и использовать ее в качестве шлюза для проникновения в сеть организации.
• Неправильно настроенные устройства IoT, которые оставляют сети открытыми для атак. Например, если организация не изменит стандартные учетные данные для входа в систему на новом IoT-устройстве, злоумышленники могут легко получить к нему доступ и начать атаку.
Для защиты от этих видов угроз организациям следует применять передовые методы обеспечения безопасности устройств IoT и OT, такие как сегментирование сетей, внедрение безопасных протоколов, регулярное исправление и обновление устройств. Они также должны регулярно оценивать уязвимости и проводить тестирование на проникновение для выявления и устранения уязвимостей в устройствах. Кроме того, группы реагирования на инциденты должны быть готовы откликнуться на подобные инциденты, в том числе иметь процедуры на случай отказа оборудования или нарушения технологического процесса.
Инциденты безопасности в облаке относятся к любым нарушениям безопасности или уязвимостям, которые происходят в среде облачных вычислений. Они могут включать несанкционированный доступ к конфиденциальным данным, несанкционированное изменение конфигурации системы и атаки типа «отказ в обслуживании». Вот некоторые примеры инцидентов безопасности в облаке.
• Нарушение данных. Хакер получает доступ к конфиденциальным данным, хранящимся в облаке, таким как личная информация или финансовые данные.
• Вредоносные инсайдеры. Сотрудник, имеющий доступ к облачным системам и данным, использует свои привилегии для кражи или повреждения информации компании.
• Компрометация учетной записи. Злоумышленник получает доступ к учетной записи пользователя в облаке, часто с помощью фишинга или тактики социальной инженерии, и может узнать конфиденциальные данные или начать атаки с этой учетной записи.
• Неправильная конфигурация. Ошибка в настройке облачной инфраструктуры, например неправильно настроенный брандмауэр или группа безопасности, позволяет получить несанкционированный доступ к облачной среде.
• Распределенные атаки типа «отказ в обслуживании» (DDoS). Злоумышленник наводняет облачное приложение трафиком, в результате чего оно становится недоступным для законных пользователей.
Предотвращение инцидентов, связанных с облачной безопасностью, и смягчение их последствий требует многоуровневого подхода, включающего внедрение средств контроля безопасности, регулярный мониторинг и планирование реагирования на инциденты, а также обучение сотрудников передовым методам обеспечения облачной безопасности. Регулярный пересмотр и обновление мер безопасности, включая контроль доступа и сегментацию сети, также может помочь предотвратить инциденты, связанные с облачной безопасностью.
Нарушения нормативно-правового соответствия и нормативных требований относятся к инцидентам, предполагающим, что организация не соблюдает законы, нормативные акты, стандарты или политику. Это может привести к значительным юридическим и финансовым последствиям, а также нанести ущерб репутации организации.