Category: Основи кібербезпеки

Алгоритм AES (Advanced Encryption Standard)

Алгоритм AES (Advanced Encryption Standard) — це симетричний криптографічний алгоритм, що використовується для шифрування та дешифрування даних. Він є стандартом шифрування, затвердженим Національним інститутом стандартів і технологій США (NIST) у 2001 році для заміни старого алгоритму DES (Data Encryption Standard).
Симетричність	AES використовує один і той самий ключ як для шифрування, так і для дешифрування даних.
Розмір ключа	AES підтримує три варіанти довжини ключа: 128 біт, 192 біт, 256 біт.
Шифрування блоку	Алгоритм працює з блоками даних розміром 128 біт (16 байт).
Застосування	• Захист даних у файлових системах (наприклад, BitLocker, FileVault). • Зашифровані з’єднання (наприклад, SSL/TLS для захисту веб-сайтів). • VPN та безпечні мережеві протоколи. • Зашифровані пристрої (мобільні телефони, жорсткі диски). • Зберігання та передача фінансової інформації (банківські системи).
Переваги AES	• Висока безпека: AES вважається одним із найбезпечніших і найефективніших алгоритмів шифрування в світі. • Швидкість: AES швидкий і ефективний, працює на багатьох різних платформах. • Гнучкість: Підтримка різної довжини ключа дає можливість вибору рівня безпеки. • Стандартизований алгоритм: AES затверджений урядами багатьох країн і використовується в численних стандартах безпеки, таких як SSL/TLS, IPsec, VPN.
AES — це основний стандарт шифрування, який використовується для забезпечення конфіденційності в сучасному світі і залишається на передовій в криптографії завдяки своїй високій безпеці та ефективності.

Алгоритм DES (Data Encryption Standard)

Алгоритм DES (Data Encryption Standard) — це симетричний криптографічний алгоритм, який широко використовувався для шифрування даних. Він був розроблений в середині 1970-х років в IBM та вперше прийнятий як стандарт шифрування в США на початку 1977 року Національним інститутом стандартів і технологій США (NIST).
Симетричність	DES використовує один і той самий ключ як для шифрування, так і для дешифрування даних.
Розмір ключа	DES використовує 56-бітний ключ для шифрування даних.
Шифрування блоку	DES працює з блоками даних розміром 64 біти (8 байт).
Слабкість DES	Довжина ключа: 56 бітів виявилася занадто малим розміром для сучасних вимог безпеки. За допомогою сучасних методів (наприклад, атаки “перебиранням” або brute-force) можна за досить короткий час підібрати ключ, тому DES вже не вважається безпечним для шифрування важливих даних.
	Криптоаналіз: DES піддається різним типам атак, зокрема диференційному криптоаналізу і лінійному криптоаналізу, що дозволяє знизити ефективність алгоритму в порівнянні з іншими сучасними стандартами.
Висновок	DES був основним стандартом шифрування в США протягом кількох десятиліть і широко використовувався для захисту даних в банківських та урядових системах. Однак, через вразливості, на початку 2000-х років було прийнято рішення замінити DES більш безпечним алгоритмом — AES (Advanced Encryption Standard), який використовує довші ключі та більш складні методи шифрування. Вже в 1999 році було продемонстровано, що DES можна зламати за допомогою спеціалізованого обладнання, що підтримує перебір всіх можливих ключів за кілька днів. Таким чином, DES більше не використовується в сучасних критичних системах через його слабкість до атак, але він все ще може зустрічатися в деяких старих системах чи в навчальних цілях.

3DES (Triple DES, або TDEA — Triple Data Encryption Algorithm)

3DES (Triple DES, або TDEA — Triple Data Encryption Algorithm) — це симетричний криптографічний алгоритм, який є вдосконаленою версією стандарту DES (Data Encryption Standard). 3DES був розроблений для того, щоб підвищити рівень безпеки DES, який став уразливим через коротку довжину ключа (56 біт) та прогрес у розвитку обчислювальних потужностей для атак перебиранням.
Потрійне шифрування	Як зрозуміло з назви, алгоритм 3DES виконує шифрування даних три рази з використанням трьох різних ключів, що робить його значно безпечнішим за стандартний DES. Це також збільшує ефективність шифрування порівняно з використанням окремих алгоритмів.
Розмір ключа	3DES може використовувати кілька варіантів довжини ключа: 112 біт: Використовуються два різні ключі (один для першого шифрування, другий для другого та перший знову для третього шифрування). 168 біт: Використовуються три різні ключі.
Шифрування блоку	Як і DES, 3DES шифрує дані блоками по 64 біти. Кожен блок даних шифрується і дешифрується окремо на кожному з етапів.
Безпека	3DES забезпечує вищий рівень безпеки в порівнянні з DES завдяки використанню трьох окремих ключів. Але він все одно є менш ефективним та безпечним, ніж більш сучасні алгоритми, такі як AES (Advanced Encryption Standard).
	Алгоритм 3DES надає безпеку еквівалентну  112 бітному ключу, хоча його слабкість у порівнянні з новими алгоритмами полягає в значно нижчій ефективності і меншому рівні захисту через більш вразливі етапи шифрування.
Висновок	3DES був розроблений для подолання вразливості DES. Його широко використовували в банківських і фінансових системах, а також в інших критичних додатках, де важливо було мати підвищений рівень безпеки без повної заміни DES в існуючих системах. З часом, завдяки появі нових стандартів шифрування, таких як AES, який є значно швидшим та більш безпечним, використання 3DES зменшилося. Наприклад, багато організацій і урядів перейшли на AES як більш сучасне і ефективне рішення. 3DES забезпечує набагато кращу безпеку, ніж звичайний DES, але все ще є менш ефективним, ніж сучасні алгоритми шифрування, такі як AES.

Алгоритм Blowfish

Алгоритм Blowfish — це симетричний блоковий шифр, розроблений Брюсом Шнайєром у 1993 році. Він був створений як швидкий і безпечний шифр, що може замінити старі алгоритми, такі як DES, і застосовуватися в умовах обмежених ресурсів.
Блокова структура	Blowfish працює з 64-бітними блоками даних. Це означає, що дані, які потрібно зашифрувати, розбиваються на блоки по 64 біти, і кожен блок обробляється окремо.
Довжина ключа	Blowfish підтримує змінну довжину ключа, від 32 біт до 448 біт. Це дає користувачам гнучкість у виборі рівня безпеки: чим довший ключ, тим складніше зламати алгоритм.
Швидкість і ефективність	Blowfish є доволі швидким і ефективним для шифрування невеликих обсягів даних, тому його часто використовують в системах з обмеженими ресурсами (наприклад, вбудовані системи чи програми, що потребують швидкої обробки даних).
Безпека	Blowfish вважається більш безпечним шифром, хоча його 64-бітний блок може бути вразливим для деяких атак, таких як атаки на “колізії” для великих обсягів даних (наприклад, при шифруванні великих файлів). Незважаючи на це, на сьогоднішній день Blowfish все ж використовується, але зазвичай для менш чутливих задач і старих систем.
Недоліки	Одним з головних недоліків є те, що він використовує 64-бітний блок. В сучасних умовах блоки на 128 біт або більше є більш бажаними, оскільки вони забезпечують кращу стійкість до атак, таких як атак на колізії при обробці великих обсягів даних.
Порівняння	Blowfish зазвичай порівнюють з іншими алгоритмами, такими як AES (Advanced Encryption Standard). Хоча Blowfish має більшу гнучкість у довжині ключа і є швидким, AES є більш сучасним та має більшу довжину блоку (128 біт) і вищий рівень безпеки, тому він є кращим вибором для більшості нових застосувань.

Алгоритм Twofish

Twofish — це симетричний блочний шифр, розроблений Брюсом Шнайєром і його командою в 1998 році, як частина конкурсу на вибір нового стандарту шифрування для заміни DES. Twofish є вдосконаленою версією алгоритму Blowfish, і його особливість полягає в тому, що він підтримує більшу довжину ключа і забезпечує більш високий рівень безпеки. Twofish був одним із фіналістів конкурсу, але в кінцевому підсумку переможцем став алгоритм AES (Advanced Encryption Standard).
Блокова структура	Twofish — це блочний шифр, який працює з 128-бітними блоками даних. Це означає, що кожен блок даних, який потрібно зашифрувати, має розмір 128 біт.
Довжина ключа	Twofish підтримує три варіанти довжини ключа: 128 біт, 192 біти, 256 біт. Це дає можливість вибору серед різних рівнів безпеки в залежності від потреби.
Стійкість до атак	Twofish є достатньо безпечним алгоритмом з точки зору теоретичної стійкості до криптоаналізу. Він має високу стійкість до сучасних атак, таких як лінійний і диференційний криптоаналіз.
Швидкість і ефективність	Twofish є доволі швидким при шифруванні даних, особливо коли використовується в апаратних реалізаціях. Він є ефективним навіть у пристроях з обмеженими ресурсами, хоча його складність у порівнянні з деякими іншими алгоритмами може бути вищою через використання численних матричних операцій і підготовки ключа.
Застосування	Twofish не став стандартом шифрування через перемогу AES, але він знайшов застосування в ряді програм і систем. Зокрема: • Шифрування даних: наприклад, у програмах для захисту файлів і даних. • VPN та інші системи безпеки: використовувався в деяких протоколах для захисту трафіку.
Порівняння	Twofish є досить схожим на Blowfish з точки зору принципу роботи, але значно потужнішим і гнучкішим: • Twofish має більшу довжину блоку (128 біт замість 64 біт у Blowfish). • Підтримує більш довгі ключі (до 256 біт). • Використовує складніші методи генерації ключів і більш складні операції на кожному раунді.

В цьому відео поговоримо про:
00:00 AES
03:33 DES
06:31 3DES
10:53 Blowfish
16:10 Twofish

Симетричне шифрування

Симетричне шифрування — це метод, при якому для шифрування та дешифрування даних використовують один і той самий ключ. Це простий і швидкий метод шифрування, однак його безпека залежить від того, наскільки безпечно передається цей ключ між сторонами.
Переваги	• Швидкість: алгоритми симетричного шифрування зазвичай дуже швидкі і ефективні.     • Простота: використовуються прості алгоритми шифрування.
Недоліки	• Проблема з передачею ключа: обидві сторони повинні мати однаковий ключ, що може бути складним для безпечної передачі через небезпечні канали зв’язку.     • Якщо ключ буде скомпрометований, усі дані, зашифровані за цим ключем, можуть бути розшифровані.
Приклад алгоритмів	• AES (Advanced Encryption Standard): один із найпопулярніших алгоритмів симетричного шифрування, який використовується для захисту даних на багатьох рівнях (від файлів до мережевого трафіку).     • DES (Data Encryption Standard): старіший алгоритм, який зараз вважається ненадійним через короткий розмір ключа.     • 3DES (Triple DES): покращена версія DES, що використовує три різні ключі для збільшення безпеки.

Асиметричне шифрування

Асиметричне шифрування використовує два різні ключі: публічний ключ і приватний ключ. Публічний ключ використовується для шифрування даних, а приватний — для їх дешифрування. Цей підхід дозволяє безпечно передавати публічний ключ через відкриті канали, оскільки тільки власник приватного ключа може розшифрувати зашифровані дані.
Переваги	• Безпека передачі ключів: публічний ключ можна передавати відкрито, не турбуючись про його перехоплення.     • Можливість створення цифрових підписів для перевірки автентичності та цілісності даних.
Недоліки	• Повільніша швидкість шифрування: алгоритми асиметричного шифрування, як правило, працюють значно повільніше, ніж симетричні.     • Потребують більшого обсягу пам’яті та обчислювальних ресурсів.
Приклад алгоритмів	• RSA (Rivest-Shamir-Adleman): один з найпоширеніших алгоритмів асиметричного шифрування, який використовується в цифрових підписах та криптографії для захисту з’єднань (наприклад, у протоколі HTTPS).     • ECC (Elliptic Curve Cryptography): криптографія на основі еліптичних кривих, яка забезпечує високий рівень безпеки при менших розмірах ключів порівняно з RSA.     • ElGamal: ще один алгоритм асиметричного шифрування, який використовується для забезпечення конфіденційності даних.

Гібридне шифрування

Гібридне шифрування — це комбінація симетричного та асиметричного шифрування, що використовується в багатьох сучасних системах, таких як TLS/SSL для захисту веб-з’єднань.
Як це працює?	1. Спочатку відбувається обмін ключами між двома сторонами за допомогою асиметричного шифрування (наприклад, за допомогою RSA чи ECC).     2. Після цього використовується симетричний ключ для шифрування всього сеансу даних. Це поєднує високу швидкість симетричного шифрування та безпеку асиметричного шифрування при обміні ключами.
Приклад застосування	TLS/SSL: коли ви підключаєтесь до веб-сайту через HTTPS, спочатку використовуються алгоритми асиметричного шифрування для обміну ключами, після чого для шифрування з’єднання використовується симетричний ключ (наприклад, AES).
Підсумки	• Симетричне шифрування підходить для випадків, коли важливо швидко і ефективно шифрувати великі об’єми даних, але є проблема з безпекою ключа.     • Асиметричне шифрування забезпечує високу безпеку при передачі даних та дозволяє створювати цифрові підписи, але працює повільніше і потребує більше обчислювальних ресурсів.     • Гібридне шифрування поєднує переваги обох типів шифрування і використовується в реальних системах для забезпечення безпеки з’єднань.

В цьому відео поговоримо про:
00:00 Ліричний відступ: маленька колядка (сучасна народна творчість, автор невідомий)
01:57 Шифрування даних
03:35 Симетричне шифрування
05:27 Асиметричне шифрування
08:05 Гібридне шифрування

Інсайдерська загроза — це загроза, що виникає від людини, яка має або мала доступ до внутрішніх ресурсів організації, і може використовувати цей доступ з метою завдання шкоди. Це може бути свідомий акт зловживання, або ж випадкові дії, які призводять до створення безпекових ризиків.
Співробітники компанії	Це найпоширеніший тип інсайдерів. Звичайні співробітники, які з різних мотивів можуть стати інсайдерами.
Підрядники та консультанти	Люди, які працюють з організацією на тимчасовій основі і мають доступ до її систем.
Партнери	Зовнішні організації або особи, які мають рівень доступу до внутрішніх ресурсів.
Інсайдер може використовувати свій доступ до систем або чутливої інформації для виконання різних зловмисних дій (наприклад, крадіжка даних, передача конфіденційної інформації). Вони можуть здійснювати свої дії як зі свого робочого місця, так і через підключення до організаційних мереж ззовні (наприклад, через мобільні пристрої або віддалений доступ). Інсайдерські загрози часто важко виявити, оскільки порушники мають законний доступ до ресурсів компанії та не викликають підозр на перших етапах своїх дій. Загалом, інсайдерські загрози становлять особливу небезпеку, оскільки зловмисники мають перевагу в знанні внутрішньої інфраструктури компанії, її політик безпеки та систем, що робить їх складними для виявлення та попередження.

Типи інсайдерів

Шкідливі інсайдери	Це люди, які навмисно використовують свій доступ до систем чи даних для того, щоб завдати шкоди організації, або для власної вигоди.
Ненавмисні інсайдери	Це люди, які не мають злого наміру, але їх недбалість, незнання чи неуважність можуть призвести до серйозних безпекових проблем.
“Благородні” інсайдери	Це люди, які маючи доступ до внутрішньої інформації, можуть свідомо розголосити її на широкий загал, наприклад через ЗМІ, задля того, щоб поінформувати суспільство про певну проблему, яку ці люди  вважають суттєвою. Їхня мета зазвичай – забезпечити прийняття етичних і адекватних управлінських рішень чи притягнути до відповідальності представників керівництва, які скоїли злочин чи вчинили певні зловживання чи неетичні дії.

Шкідливі інсайдери

Крадіжка даних	Наприклад, це може бути викрадення конфіденційної інформації для продажу конкурентам, для використання в особистих цілях або для надання вигоди іншій стороні. Приклад: Співробітник фінансового відділу викрадає особисті дані клієнтів або корпоративні фінансові записи, щоб продати їх або використати для шахрайства.
Шкідливе модифікування даних	Може бути актом саботажу або маніпуляцією з даними для досягнення особистих цілей чи завдання шкоди компанії. Приклад: Співробітник змінює фінансові звіти, щоб приховати фінансові зловживання або підставити компанію.
Використання привілеїв для несанкціонованих дій	Зловмисник використовує свої адміністративні права для несанкціонованого доступу до чутливих даних або внутрішніх систем. Приклад: ІТ-спеціаліст використовує свої права для доступу до особистої інформації клієнтів або для маніпуляцій в мережі організації.
Шкідливий код або саботаж	Інсайдер може навмисно інсталювати вірус, троян або інше шкідливе ПЗ, щоб пошкодити або знищити важливі дані, заблокувати доступ до систем чи призвести до простоїв. Приклад: ІТ-спеціаліст інсталює програму, яка знищує бази даних організації або викрадає паролі.

Ненавмисні інсайдери

Невірне поводження з конфіденційною інформацією	Співробітники випадково розкривають чутливу інформацію через незнання чи недбалість. Приклад: Співробітник відправляє конфіденційну інформацію або неправильно надає доступ до даних стороннім особам.
Недбальство в управлінні паролями та доступами	Використання слабких паролів, залишення паролів на видному місці, або передача паролів іншим особам через небезпечні канали. Приклад: Співробітник використовує один і той же пароль для різних систем або записує паролі на папері, що легко потрапляє в чужі руки.
Випадкові дії через фішинг або соціальну інженерію	Співробітник може стати жертвою фішингової атаки або іншого виду соціальної інженерії, через що порушує політики безпеки компанії. Приклад: Співробітник випадково завантажує шкідливий файл, відкриваючи фішинговий лист, що дозволяє зловмисникам отримати доступ до корпоративної мережі.
Невірна конфігурація системи або безпеки	Співробітники можуть випадково налаштувати системи безпеки таким чином, що це дозволяє несанкціонований доступ або залишає слабкі місця. Приклад: ІТ-спеціаліст помилково налаштовує сервер таким чином, що важливі дані стають доступними для сторонніх осіб або хакерів.

“Благородні” інсайдери

Розголос про шкідливі рішення керівництва	Наприклад, задля забезпечення виконання KPI керівництво компанії приймає рішення закупити дешеві, ненадійні комплектуючі, що може створити ризики для життя і здоров’я співробітників, людей, які живуть неподалік та навколишнього середовища. Інсайдер чи інсайдери намагаються переконати керівництво відмовитися від подібного рішення. Але їхні спроби зазнають фіаско. В результаті інсайдер приймає рішення розголосити подібну інформацію.
Розголос про неетичну поведінку керівництва	Наприклад, представники вищого керівництва ображають співробітників, створюють неадекватні, психологічно виснажливі умови на робочому місці, погрожують співробітникам, сексуально домагаються тощо. Інсайдер, який в таких ситуаціях, може стати як свідком, так і безпосередньо жертвою, оприлюднює подібну інформацію на широкий загал.
Розголос про фінансові зловживання керівництва	Наприклад, представники вищого керівництва зловживають витратами, підробляють звіти, укладають невигідні угоди, які завдадуть збитки компанії. Ісайдер може оприлюднити подібну інформацію, щоб припинити подібні зловживання і можливо домогтися таким чином заміни вищого керівництва на більш компетентних і адекватних людей.

За рівнем доступу

Привілейовані інсайдери	Це особи з високим рівнем доступу (адміністратори систем, топ-менеджери, спеціалісти з ІТ). Вони мають повний або розширений доступ до систем і можуть завдати серйозної шкоди, зловживаючи цими привілеями.
Звичайні інсайдери	Це співробітники з обмеженими правами доступу, але навіть обмежений доступ до чутливої інформації або систем може бути використаний для витоку даних чи випадкових помилок.

За мотивацією інсайдерів

Інсайдерські загрози також можна класифікувати залежно від мотивації осіб:
Фінансова вигода	Інсайдер може красти дані чи передавати їх за гроші.
Помста або саботаж	Невдоволені співробітники можуть намагатися нашкодити компанії у відповідь на незадоволення умовами праці або звільненням.
Недбалість	Інсайдери можуть порушувати політики безпеки, не усвідомлюючи наслідків своїх дій.

Доступ до інформації

Інсайдери можуть отримувати доступ до чутливої інформації та систем кількома способами, зокрема через легітимний доступ, який вони мають в межах своїх робочих обов’язків, або ж через порушення політик безпеки. До основних шляхів, за допомогою яких інсайдери можуть отримати доступ до інформації відносять:

Прямий доступ через облікові записи та привілеї

Фізичний доступ до обладнання та серверів

Використання мобільних пристроїв та віддалений доступ

Несанкціоноване підключення до корпоративної мережі через сторонні пристрої

Помилки та уразливості в системах безпеки

Порушення політик безпеки

Зловживання правами для зловмисних цілей

Соціальна інженерія та маніпуляції з іншими співробітниками

Прямий доступ через облікові записи та привілеї

Інсайдери мають доступ до різних систем завдяки своїм обліковим записам і привілеям, які надаються їм у межах їхніх посадових обов’язків.
Облікові записи користувачів	Співробітники мають доступ до конкретних файлів, баз даних або програмних додатків, що відповідають їхнім ролям у компанії. Наприклад, бухгалтер може мати доступ до фінансових звітів, а ІТ-спеціаліст — до конфіденційних налаштувань мережі.
Привілеї адміністратора	Адміністратори або ІТ-спеціалісти мають повний доступ до всієї інфраструктури організації, що дозволяє їм отримати доступ до будь-якої системи, даних або конфігураційних файлів.
Принцип необхідних прав	Ідея, що кожен користувач має доступ тільки до тих ресурсів, які необхідні йому для виконання своїх обов’язків. Однак навіть з мінімальними правами інсайдер може використовувати свої привілеї для несанкціонованих дій.

Фізичний доступ до обладнання та серверів

Інсайдери можуть мати фізичний доступ до серверів, комп’ютерів та іншої техніки, що дає їм можливість отримати чутливу інформацію.
Обладнання в офісі	Співробітники можуть отримати доступ до корпоративних комп’ютерів, ноутбуків або мобільних пристроїв, на яких зберігаються важливі дані. Вони можуть підключити власні пристрої, копіювати дані або використовувати USB-накопичувачі.
Доступ до серверних приміщень	ІТ-персонал чи інші співробітники, які мають фізичний доступ до серверних кімнат або центрів обробки даних, можуть безпосередньо отримувати чи змінювати дані.

Використання мобільних пристроїв та віддалений доступ

Інсайдери можуть використовувати мобільні пристрої або зовнішні пристрої для отримання доступу до корпоративних систем і даних, особливо в умовах віддаленої роботи.
Мобільні пристрої	Смартфони, планшети або ноутбуки можуть містити корпоративні додатки або доступи до корпоративних мереж. Якщо пристрій неналежно захищений, інсайдер може надати доступ чи отримати доступ до чутливої інформації через нього.
Віддалений доступ (VPN, RDP, VDI)	Інсайдери можуть використовувати віддалений доступ до корпоративної мережі через VPN, протоколи віддаленого робочого столу (RDP) або віртуальні робочі столи (VDI). Це дає змогу працювати з чутливими даними з будь-якого місця.
Необхідність захисту віддаленого доступу	Важливо контролювати доступ до віддалених систем, використовуючи багатофакторну автентифікацію та інші заходи безпеки.

Несанкціоноване підключення до корпоративної мережі через сторонні пристрої

Інсайдери можуть підключати сторонні пристрої, як USB-накопичувачі, мобільні пристрої чи навіть власні комп’ютери, для доступу до внутрішніх систем або виведення інформації.
USB-пристрої	Використання незахищених USB-пристроїв для копіювання або викрадення даних може стати каналом витоку інформації.
Сторонні пристрої та Wi-Fi мережі	Підключення до корпоративної мережі через незахищену або несанкціоновану Wi-Fi мережу може бути використано для обходу систем безпеки.

Помилки та вразливості в системах безпеки

Інсайдери можуть скористатися помилками або вразливостями в системах безпеки, щоб отримати доступ до інформації, на яку вони не мали б прав.
Невірно налаштовані політики доступу	Якщо налаштування систем безпеки або контролю доступу є слабкими (наприклад, занадто широкі права доступу для всіх користувачів), інсайдер може скористатися цими недоліками для отримання доступу до чутливих даних.
Недостатньо надійні паролі або механізми автентифікації	Використання слабких паролів або відсутність багатофакторної автентифікації може дозволити зловмиснику отримати доступ до системи.

Порушення політик безпеки

Інсайдери можуть порушувати внутрішні політики безпеки компанії, що дозволяє їм отримати доступ до даних або ресурсів, до яких вони не повинні мати доступу.
Ігнорування принципу «необхідних прав»	Надання зайвих прав доступу співробітникам (наприклад, доступ до всієї бази даних замість конкретних файлів) може дати їм змогу отримати несанкціонований доступ.
Несанкціоноване використання сторонніх сервісів	Використання хмарних сервісів для зберігання або обміну даними може призвести до порушення конфіденційності.

Зловживання правами для зловмисних цілей

Інсайдер може використовувати свої легітимні права доступу для несанкціонованих дій.
Несумлінне використання адміністративних прав	Якщо співробітник має адміністративні права (наприклад, доступ до серверів або баз даних), він може зловживати цими правами для копіювання чи викрадення даних.
Маніпуляція з логами та обліковими записами	Інсайдер може змінити системні журнали доступу (логи), щоб приховати свої сліди або створити фальшиві облікові записи для доступу до даних.

Соціальна інженерія та маніпуляції з іншими співробітниками

Інсайдери можуть використовувати методи соціальної інженерії для того, щоб змусити інших співробітників або користувачів надавати їм доступ до систем або даних.
Фішинг	Інсайдер може спробувати обдурити іншого співробітника або користувача, щоб отримати його облікові дані через фішингові атаки.
Маніпуляції з колегами	Інсайдер може маніпулювати іншими співробітниками, щоб отримати доступ до їхніх облікових записів або чутливої інформації.

Ідентифікація загрози

Розпізнати інсайдерську загрозу може бути складно, оскільки такі загрози часто виникають від осіб, які мають законний доступ до внутрішніх систем і даних організації. Проте існують певні ознаки та патерни поведінки, які можуть свідчити про потенційну загрозу. Зазвичай інсайдери не діють відкрито або явно, але їх дії можуть бути помітними через певні індикатори.
Незвичні або підозрілі зміни в поведінці користувача	Інсайдерська загроза часто виявляється через незвичну або незадоволену поведінку співробітників.
Підозрілі запити на доступ	Інсайдери можуть намагатися отримати доступ до інформації або систем, для яких у них немає необхідних прав.
Аномальна активність в системах моніторингу	Регулярний моніторинг користувацької активності в системах безпеки може допомогти виявити аномалії, що вказують на потенційну інсайдерську загрозу.
Зміни в системах безпеки	Інсайдери можуть намагатися обходити або зламувати систему безпеки, щоб приховати свої сліди.
Незвичні моделі використання комунікаційних каналів	Інсайдери можуть спробувати передати чутливу інформацію через нестандартні канали зв’язку.
Фізичні підозрілі дії	Інсайдери можуть намагатися фізично отримати доступ до чутливої інформації, якщо мають фізичний доступ до приміщення або обладнання компанії.
Невдоволення або зміни в настрої співробітника	Особисті проблеми або прояви невдоволення на робочому місці можуть стати мотивом для інсайдерської загрози.

Незвичні або підозрілі зміни в поведінці користувача

Незвичне використання системи або доступу до даних	Співробітник раптово отримує доступ до ресурсів, до яких не мав доступу раніше. Завантаження великих обсягів даних без очевидної причини, особливо якщо це не входить до обов’язків співробітника. Співробітник, який раніше мав доступ тільки до обмеженого набору інформації, починає переглядати або експортувати конфіденційну інформацію, наприклад, фінансові звіти або персональні дані клієнтів.
Незвичайні години роботи	Співробітник, який працює в офісі тільки в робочі години, починає працювати пізно ввечері або на вихідних, без пояснення.
Зміни в поведінці в команді	Раптове відчуження, ізоляція від колег, уникання спільних зустрічей або інші зміни в соціальній поведінці можуть бути ознаками незадоволення чи підготовки до зловживання.

Підозрілі запити на доступ

Несподівані запити на підвищення доступу	Співробітники можуть запитувати додаткові права доступу до систем або даних, які не є необхідними для виконання їхніх обов’язків. Наприклад, працівник з відділу продажів раптом просить доступ до фінансових чи бухгалтерських систем.
Невиправдані зміни в ролях або привілеях	Зміни в правах доступу (наприклад, доступ до адміністративних функцій або конфіденційних даних) можуть свідчити про спробу зловживання.

Аномальна активність в системах моніторингу

Системи SIEM (Security Information and Event Management)	Такі системи можуть виявляти аномалії в поведінці користувачів, наприклад, великі обсяги завантажених або змінених даних за короткий період, спроби доступу до систем без відповідних прав, або підозрілі спроби обійти систему безпеки.
Незвичайні логін-сесії	Виявлення частих спроб входу в систему з різних пристроїв або географічних локацій може бути індикатором підозрілої активності. Наприклад, якщо співробітник зазвичай працює з одного пристрою в офісі, але раптово використовує новий пристрій або підключається з незнайомої IP-адреси.
Аномальні дії з доступом до файлів	Часте відкриття чи експортування великих обсягів чутливої інформації без очевидної потреби може бути ознакою того, що співробітник збирається викрасти дані.

Зміни в системах безпеки

Маніпуляції з логами	Якщо хтось намагається змінити або стерти записи в системних журналах доступу (логи), щоб приховати свої дії, це може бути яскравим індикатором інсайдерської загрози.
Використання вразливостей системи	Співробітники можуть спробувати використати уразливості в системах безпеки, щоб отримати доступ до даних, які вони зазвичай не повинні бачити, або створити свої власні канали для передачі інформації.

Незвичні або порушені моделі використання комунікаційних каналів

Переміщення даних через зовнішні носії	Використання несанкціонованих USB-накопичувачів або зовнішніх дисків для зберігання або передачі конфіденційних даних.
Незвичайні електронні листи або передача файлів	Пересилання великих обсягів файлів через незатверджені канали (наприклад, електронна пошта або месенджери) може свідчити про спробу витоку даних.
Підозрілі дзвінки або контакти з конкурентами	Інсайдер може встановлювати контакти з конкурентами або зовнішніми сторонами без дозволу компанії, що також може свідчити про витік інформації.

Фізичні підозрілі дії

Підозрілі переміщення або доступ до серверних кімнат	Незвичне відвідування серверних або захищених приміщень без робочої необхідності.
Використання сторонніх пристроїв	Підключення сторонніх пристроїв (флешок, мобільних телефонів тощо) до робочих комп’ютерів або серверів може бути спробою скопіювати чи передати інформацію без дозволу.

Невдоволення або зміни в настрої співробітника

Зниження продуктивності або підвищене невдоволення	Співробітник, який стає більш замкнутим, менш мотивованим або демонструє інші ознаки невдоволення роботою, може бути схильним до скоєння інсайдерської загрози.
Незадоволення умовами праці або конфлікти з колегами чи керівництвом	Це може створити психоемоційний фон, на якому співробітник може бути схильний до помсти або саботажу.

Методи запобігання

Запобігання інсайдерським загрозам є важливою складовою частиною стратегії кібербезпеки організації, оскільки інсайдери можуть мати легітимний доступ до чутливих даних і систем, що ускладнює виявлення та запобігання їхнім зловмисним діям. Існує низка методів, які можуть допомогти зменшити ризик інсайдерських загроз:
1. Управління доступом і мінімізація привілеїв	2. Багатофакторна автентифікація (MFA)
3. Моніторинг і аналіз активності користувачів	4. Інформаційна політика та навчання співробітників
5. Контроль за використанням зовнішніх пристроїв	6. Регулярні аудити безпеки та перевірки
7. Політика «Розриву зв’язку» при звільненні або зміні ролі співробітників	8. Використання технологій для виявлення та запобігання витоку даних (DLP)
9. Розробка плану реагування на інсайдерські загрози

Управління доступом і мінімізація привілеїв

Один із найбільш ефективних методів запобігання інсайдерським загрозам — це забезпечення мінімальних прав доступу. Кожен користувач повинен мати доступ лише до тих даних і ресурсів, які необхідні йому для виконання своїх обов’язків.
Політика «мінімально необхідних прав доступу»	Переглядайте і регулюйте доступ співробітників до інформаційних систем на основі їхніх обов’язків. Уникайте надання надмірних привілеїв.
Розмежування доступу	Розмежуйте доступ до різних рівнів інформації (наприклад, доступ до фінансових даних лише для співробітників фінансового відділу, доступ до бази даних тільки для адміністраторів тощо).
Регулярні перевірки доступу	Перевіряйте права доступу співробітників регулярно, особливо після змін у їхніх ролях або після звільнення.
Рольовий доступ (RBAC)	Використовуйте рольовий доступ (Role-Based Access Control), щоб визначити, які ролі мають доступ до яких ресурсів, і уникати ситуацій, коли користувач має доступ до зайвих або чутливих даних.

Багатофакторна автентифікація (MFA)

Багатофакторна автентифікація значно ускладнює несанкціонований доступ до систем, навіть якщо зловмисник має пароль.
Використання паролів та додаткових факторів	Для доступу до важливих систем та ресурсів вимагайте два або більше фактори автентифікації (наприклад, пароль і одноразовий код, що надсилається на мобільний телефон).
Автентифікація за допомогою біометрії	Впровадження біометричних методів аутентифікації, таких як сканування відбитків пальців або розпізнавання обличчя.

Моніторинг і аналіз активності користувачів

Проблеми, пов’язані з інсайдерами, можна виявити за допомогою систем моніторингу активності користувачів, які відстежують підозрілі або аномальні дії в реальному часі.
SIEM-системи (Security Information and Event Management)	Використовуйте інструменти для централізованого моніторингу та аналізу подій, щоб виявляти аномальні або підозрілі активності, такі як надмірне завантаження даних, входи з незвичних локацій чи спроби обходу безпеки.
Повідомлення про несанкціоновані дії	Налаштуйте системи на автоматичне повідомлення про будь-які підозрілі дії, такі як доступ до файлів, на які співробітник не має права доступу, або зміни в конфігураціях систем.

Інформаційна політика та навчання співробітників

Важливим кроком у запобіганні інсайдерським загрозам є формування чіткої інформаційної політики та регулярне навчання співробітників.
Підвищення обізнаності про безпеку	Проводьте регулярні тренінги та семінари для співробітників, щоб вони були обізнані про загрози кібербезпеки та знали, як уникати фішингових атак, обробляти чутливу інформацію та дотримуватися корпоративних норм безпеки.
Чіткі правила користування інформацією	Визначте політики для зберігання, обробки і передачі конфіденційних даних, щоб уникнути витоків і зловживань.
Повідомлення про порушення	Заохочуйте співробітників повідомляти про підозрілі дії або порушення безпеки та запровадьте систему анонімних повідомлень.

Контроль за використанням зовнішніх пристроїв

Впровадьте жорсткі правила для підключення зовнішніх пристроїв (флешок, портативних дисків, мобільних пристроїв) до корпоративних систем, щоб уникнути витоку інформації.
Заборона або обмеження використання USB-пристроїв	Забезпечте контроль доступу до USB-портів і використовуйте шифрування даних на зовнішніх носіях, якщо їх використання є необхідним.
Шифрування даних	Всі чутливі дані, що зберігаються на зовнішніх пристроях або передаються через незащищені канали, повинні бути зашифровані.

Регулярні аудити безпеки та перевірки

Проведення регулярних аудитів безпеки допомагає виявляти порушення та уразливості в існуючих системах і процесах.
Аудити доступу та активності	Регулярно проводьте аудит системи безпеки, в тому числі перевіряйте, хто має доступ до яких ресурсів, і чи відповідає цей доступ їхнім обов’язкам.
Тестування на проникнення (Penetration Testing)	Проводьте тестування на проникнення, щоб виявити потенційні уразливості, які можуть бути використані інсайдерами для несанкціонованого доступу.

Політика «Розриву зв’язку» при звільненні або зміні ролі співробітників

Процес звільнення або зміни ролі співробітників має бути ретельно організований, щоб мінімізувати ризик зловживань.
Відключення доступу відразу після звільнення	Після того, як співробітник залишає компанію, його доступ до всіх корпоративних систем і пристроїв повинен бути негайно припинений.
Аудит доступу при зміні ролі	Коли співробітник змінює посаду, перевірте і змініть його рівень доступу до інформаційних ресурсів, щоб він не мав доступу до чутливих даних, якщо це не відповідає новій ролі.

Використання технологій для виявлення та запобігання витоку даних (DLP)

Системи захисту від витоку даних (DLP) допомагають виявляти та запобігати несанкціонованому передаванню чутливої інформації.
Моніторинг передачі даних	Впровадження DLP-систем дозволяє відстежувати, які дані передаються через зовнішні канали (електронну пошту, хмарні сервіси тощо) і блокувати несанкціоновані спроби передачі конфіденційної інформації.
Контроль доступу до чутливих даних	Використовуйте DLP для визначення, які співробітники мають доступ до конфіденційної інформації, і автоматично обмежуйте або зупиняйте спроби несанкціонованої передачі таких даних.

Розробка плану реагування на інсайдерські загрози

Для швидкого реагування на інсайдерські загрози важливо мати план реагування на інциденти, який передбачає чіткі кроки у разі виявлення підозрілої активності чи витоку даних.
Кроки для виявлення та реагування	Визначте процедури для своєчасного виявлення інсайдерських загроз, їхнього аналізу і оперативного реагування.
Розслідування інцидентів	Впровадьте процес для розслідування інцидентів, щоб зрозуміти, як саме сталася загроза, які дані були скомпрометовані і хто був задіяний.
Запобігання інсайдерським загрозам вимагає комплексного підходу, що включає технічні рішення, управлінські заходи та постійну освіту співробітників. Важливо забезпечити належний контроль доступу до даних, активний моніторинг користувацької діяльності, регулярні перевірки безпеки та наявність чіткої політики і процедур для управління інцидентами.

Реакція на загрозу

Реакція на інсайдерську загрозу повинна бути швидкою, продуманою та структурованою, оскільки інсайдери, як правило, мають легітимний доступ до систем і даних, що робить їхні дії складнішими для виявлення і нейтралізації. Правильний план реагування на інсайдерську загрозу допоможе мінімізувати шкоду для організації та забезпечити відновлення нормальної роботи.
1. Ідентифікація та підтвердження загрози	2. Ізоляція та обмеження доступу
3. Збір доказів і документування інциденту	4. Розслідування інциденту
5. Відновлення і контроль після інциденту	6. Юридичні та дисциплінарні наслідки
7. Аналіз і вдосконалення заходів безпеки

Ідентифікація та підтвердження загрози

Першим кроком є виявлення потенційної інсайдерської загрози. Важливо точно визначити, чи дійсно має місце загроза зсередини організації, чи це помилка чи випадковість.
Оцінка аномальної активності	Використання систем моніторингу, таких як SIEM (Security Information and Event Management), для виявлення підозрілих дій: надмірного доступу до даних, перенесення великих обсягів файлів, зміни прав доступу тощо.
Перевірка логів	Аудит і перевірка системних логів для виявлення підозрілих спроб доступу або аномальних патернів поведінки користувача.
Аналіз поведінки	Якщо є підозри щодо конкретного співробітника, потрібно проаналізувати його поведінку та зібрати інформацію щодо змін у його діяльності, наприклад, підвищена активність у несанкціонованих системах чи час роботи поза робочими годинами.

Ізоляція та обмеження доступу

Якщо підозра на інсайдерську загрозу підтверджується або є достатньо доказів для перевірки, потрібно негайно ізолювати потенційного загрозу, щоб мінімізувати можливі втрати.
Відключення доступу	Переривання доступу до корпоративних систем, баз даних, облікових записів, електронної пошти та інших чутливих ресурсів, щоб обмежити можливості для подальших зловживань.
Підозріла активність	Якщо є конкретна інформація про підозрілу активність співробітника, можна тимчасово відсторонити його від роботи або призупинити доступ до критичних систем.
Видалення або блокування пристроїв	Якщо інсайдер використовує сторонні пристрої (наприклад, флешки або мобільні телефони), їх потрібно заблокувати або вилучити для запобігання передачі даних.

Збір доказів і документування інциденту

Важливо зафіксувати всі дії, що пов’язані з інцидентом, для подальшого аналізу та можливого юридичного розслідування.
Документування дій співробітника	Збирайте докази підозрілої активності, включаючи логи доступу, електронні листи, журнали дій в системах безпеки.
Збереження доказів	Уникайте змін або видалення доказів. Всі дані повинні бути зафіксовані для подальшого аналізу або юридичних процедур.
Розслідування	Встановіть, що саме сталося, як довго діяла загроза, яка інформація була доступна інсайдеру та чи було її витрачено або чи відбулися зловживання.

Розслідування інциденту

Якщо загроза підтверджена, необхідно провести повне розслідування інциденту. Це дозволить не тільки виявити, як саме сталася загроза, але й зрозуміти, чому вона відбулася, і що можна зробити для уникнення подібних інцидентів у майбутньому.
Визначення масштабу загрози	Оцініть, які дані або ресурси були скомпрометовані, чи є витік конфіденційної інформації, і які наслідки можуть бути для організації.
Ідентифікація мотивів	Проаналізуйте, чи була загроза зумовлена фінансовими чи особистими мотивами, чи йшлося про помсту за конфлікти на роботі, чи це була частина більшої схеми.
Розмови з працівниками	Якщо це можливо, організуйте розмову з праціниками, щоб з’ясувати обставини події.

Відновлення і контроль після інциденту

Після того як інцидент буде підтверджено та розслідувано, потрібно відновити нормальну роботу організації та впровадити заходи для попередження подібних ситуацій у майбутньому.
Відновлення доступу до систем	Після перевірки та виправлення можливих вразливостей, відновіть доступ до систем, але тільки для авторизованих користувачів.
Перегляд політики доступу	Після інциденту необхідно оновити політики доступу та безпеки, щоб мінімізувати ризик повторення.
Оцінка завданої шкоди	Оціните, чи були нанесені фінансові, репутаційні чи інші збитки організації. Якщо було порушено законодавство, розгляньте можливість юридичного переслідування.
Відновлення довіри	Важливо відновити довіру серед співробітників і клієнтів організації. Це може включати відкриті комунікації про заходи, вжиті для попередження подібних інцидентів.

Юридичні та дисциплінарні наслідки

Якщо інсайдерська загроза є серйозною і має правові наслідки (наприклад, витік чутливої інформації, крадіжка інтелектуальної власності), можуть бути застосовані дисциплінарні або юридичні заходи.
Дисциплінарні заходи	Залежно від серйозності порушення, це може бути попередження, звільнення, переведення на іншу позицію або обмеження доступу до певних ресурсів.
Юридичні наслідки	У разі серйозного порушення (крадіжка даних, нанесення шкоди компанії) може бути ініційовано кримінальне розслідування. Потрібно взаємодіяти з юридичними консультантами для визначення правових кроків.
Захист інтересів організації	Якщо є серйозні наслідки для бізнесу (наприклад, втрата клієнтських даних або витік корпоративної інформації), слід вжити заходів для захисту компанії від подальших витоків і репутаційних збитків.

Аналіз і вдосконалення заходів безпеки

Після інциденту важливо провести аналіз всіх заходів безпеки та внести зміни до існуючих політик і процедур для мінімізації ризиків у майбутньому.
Оцінка політики безпеки	Перегляньте політики безпеки, щоб вони були актуальними і відповідали новим загрозам. Впровадьте більш суворі заходи контролю доступу та моніторингу.
Тренінги для персоналу	Проведіть додаткові тренінги для співробітників щодо нових процедур безпеки і загроз.
Інвестування в технології	Оцініть необхідність удосконалення інструментів для моніторингу активності користувачів, таких як системи SIEM, DLP (Data Loss Prevention) та системи багатофакторної автентифікації (MFA).

Психологія інсайдерів

Психологія інсайдерів є важливою складовою в контексті кібербезпеки, оскільки мотивація співробітників, які вчиняють інсайдерські загрози, може варіюватися від особистих обставин до професійних розчарувань або бажання помститися організації. Розуміння психологічних аспектів дозволяє краще передбачити і запобігти потенційним загрозам зсередини.
1. Фінансові мотиви	2. Професійні мотиви
3. Ідеологічні мотиви	4. Особисті мотиви
5. Соціальний вплив і групова динаміка

Фінансові мотиви

Корисливість	Деякі інсайдери можуть бути зацікавлені в отриманні фінансової вигоди через крадіжку чутливих даних (наприклад, фінансових звітів, клієнтської бази) або через шахрайство (наприклад, маніпулювання системами для особистої вигоди).
Гроші як фактор тиску	Внутрішні працівники можуть бути під впливом фінансових труднощів або боргів, що призводить їх до зловживання доступом до даних або ресурсів компанії.

Професійні мотиви

Невдоволення роботою	Співробітники, які почуваються недооціненими чи зневаженими. Невдоволення може виникати через несправедливе ставлення, занижену зарплату, відсутність кар’єрного зростання або конфлікти з керівництвом.
Бажання змінити ситуацію	Інсайдер може прагнути до змін у компанії, йому здається, що його дії допоможуть покращити ситуацію, навіть якщо це буде на шкоду репутації організації. Але з іншого боку замовчування проблеми може призвести до значно гірших наслідків.

Ідеологічні мотиви

Протест проти політики компанії	Деякі інсайдери можуть бути мотивовані ідеологічними переконаннями або соціальними поглядами (наприклад, протест проти корупції в компанії).
Політичні мотиви	У деяких випадках співробітники можуть мати політичні мотиви, пов’язані з протестом проти певної політики компанії або навіть впливу компанії на державу чи суспільство.

Особисті мотиви

Помста	У разі конфліктів з колегами, керівниками або іншими співробітниками, інсайдери можуть вчинити злочин з бажання помститися за особисті образи чи непорозуміння.
Стрес та емоційне вигорання	Довготривалі стреси, емоційне вигорання або нещасливі особисті ситуації можуть спонукати співробітника до ризикованих вчинків, у тому числі до дій, які загрожують компанії.

Соціальний вплив і групова динаміка

Вплив колег	Співробітник може стати частиною групи або середовища, де інсайдерські загрози стають нормою, або де є тиск на нього з боку колег чи керівників.
«Тиск групи»	Іноді співробітники можуть діяти в рамках групової динаміки, коли їх мотивує не лише особистий інтерес, а й бажання належати до певної групи або піддатися впливу інших.

Психологічні стратегії для запобігання інсайдерським загрозам

Розуміння мотивації співробітників	Створення сприятливого психологічного клімату в організації допомагає мінімізувати ризики, пов’язані з професійними та особистими мотивами інсайдерів. Це може включати підтримку, розвиток, навчання і кар’єрне зростання для співробітників.
Мотивація і заохочення чесності	Справедливе ставлення до працівників, встановлення відкритої та прозорої комунікації, заохочення чесної поведінки можуть допомогти запобігти зловживанням та розчаруванню, яке може призвести до зловживань.
Навчання співробітників	Регулярне навчання співробітників щодо етики поведінки, цінностей компанії та наслідків для організації при порушенні політик безпеки може змінити їхнє сприйняття ситуації і зменшити ймовірність негативних дій.
Виявлення ранніх ознак психологічного стресу	Спостереження за рівнем стресу, емоційного вигорання та змінами в поведінці співробітників допомагає вчасно виявити потенційно небезпечних інсайдерів і надати їм необхідну підтримку.

Короткі підсумки

Тип інсайдера	Мета	Реакція
Шкідливий інсайдер	Особиста вигода чи недбалість Викрадення, пошкодження чи знищенння даних	Протидія, запобігання
Нешкідливий інсайдер	Намагається повідомити про істотну проблему, щоб убезпечити організацію чи компанію від потенційно суттєвих репутаційних чи фінансових втрат	Максимальне сприяння, реагування на звернення, щоб інформація про проблеми знаходила відгук і відпадала необхідність розголошувати інформацію.

Короткий кейс

Ситуація	Керівництво компанії А приймає рішення відправити групу співробітників на проєкт, який розташований в безпосередній близькості від зони боєвих дій, задля покращення річних фінансових результатів. В ході планування представники керівництва повідомляють обраним співробітникам неправидиву інформацію про те, що у разі отримання поранень чи загибелі офіційна страховка буде діяти і співробітники чи їхні родичі отримають щедрі компенсації.
Опція 1	Один із співробітників, якого планують відправити в це відрядження, звернувся до страхової компанії за роз’ясненнями і отримав офіційну відповідь від страхової компанії, що в місцевості, де буде проєкт жодні страховки діяти не будуть через занадто високі ризики для життя, тому жодних виплат у разі форс-мажору ніхто не отримає. В ході спілкування з керівництвом жодних дій, розуміння чи пояснень отримано не було. Тому співробітник написав і оприлюднив відкритий лист, поінформувавши тим самим всіх співробітників про ситуацію. В результаті розголосу відрядження було скасовано.
Опція 2	Співробітники без зайвих питань і заперечень поїхали у відрядження.

В цьому відео поговоримо про:
00:00 Існайдерська загроза
03:08 Типи інсайдерів
22:49 Доступ до інформації
40:01 Ідентифікація загрози
50:08 Методи запобігання
01:07:36 Реакція на загрозу
01:20:30 Психологія інсайдерів
01:33:52 Короткі підсумки

Атака “відмови в обслуговуванні” (Denial of Service, DoS) – це тип кібернападу, який має на меті зробити комп’ютерні системи, сервіси або мережі недоступними для користувачів, зазвичай шляхом перевантаження їх запитами. До основних характеристик можна віднести:
Перевантаження ресурсів	Зловмисники надсилають надмірну кількість запитів до системи, що перевантажує її ресурси (наприклад, пропускну спроможність мережі) і викликає збій у роботі.
Цільові системи	Атаки можуть націлюватися на різні елементи: веб-сайти, сервери, мережеві пристрої або цілі мережі.

Типи атак DoS

Традиційні DoS-атаки	Зловмисник використовує одне джерело для надсилання великої кількості запитів до цільової системи.
Розподілені атаки (DDoS)	Зловмисники контролюють мережу з заражених комп’ютерів (ботнет) і надсилають запити з багатьох джерел одночасно. Це робить їх більш потужними та важкими для виявлення.
Протокольні атаки	Використання слабкостей у мережевих протоколах для виклику збою у системі.
Атаки на додатки	Зловмисники намагаються виснажити ресурси веб-додатків, наприклад, надсилаючи великі обсяги запитів, що вимагають обробки.

DoS vs DDoS

DoS-атака	Виконується з одного джерела (один комп’ютер або сервер). Атакуючий намагається перевантажити ресурс (сайт, сервер) за допомогою великої кількості запитів або шляхом використання вразливостей. Зазвичай простіша у виконанні, але й менш потужна.
DDoS-атака	Виконується з багатьох джерел одночасно (використовує ботнет — мережу заражених комп’ютерів). Завдяки розподіленості, атака значно складніша для захисту, оскільки її важче відслідковувати і блокувати. Зазвичай має більшу потужність і може призвести до серйозніших наслідків.
Таким чином, DDoS-атаки є більш масштабними і складними, оскільки задіюють більшу кількість джерел, що ускладнює їхнє виявлення та нейтралізацію.

Типи DDoS  атак

Flood-атаки	Атакуючий надсилає багато запитів, намагаючись перевантажити сервер, який не може обробити всі ці запити.
Атаки на рівні застосунків	Атака на веб-сервер під час якої підтримується багато одночасних з’єднань відкритими, без завершення запитів, що призводить до виснаження ресурсів. Чи наприклад, коли атакуючий надсилає велику кількість HTTP-запитів до веб-сайту, намагаючись перевантажити веб-сервер.
Протокольні атаки	Використовує слабкості протоколів для перевантаження цільової системи. Наприклад, TCP Reset Attack, коли атакуючий відправляє TCP reset пакети, щоб обірвати з’єднання.
Комбіновані атаки	Атаки, які поєднують кілька з вище згаданих методів, щоб ускладнити захист.
Атаки на DNS	Атакуючий використовує вразливі DNS-сервери, щоб відправити великий обсяг трафіку до цільового сервера.

Етапи DDoS  атак

Створення ботнету	Зловмисник інфікує комп’ютери та пристрої шкідливим програмним забезпеченням, перетворюючи їх на “боти”. Це може бути виконано через віруси, трояни або інші методи. Ці заражені пристрої формують мережу, звану ботнетом, яка контролюється зловмисником.
Планування атаки	Зловмисник визначає ціль (веб-сайт, сервер або мережу) і обирає тип атаки. Може використовуватися інструментарій або спеціалізоване програмне забезпечення для управління ботнетом.
Запуск атаки	Зловмисник надсилає команду всім ботам у мережі одночасно надіслати величезну кількість запитів до цільового ресурсу. Це може призвести до різкого збільшення трафіку, перевантажуючи сервер або мережу цілі.
Перевантаження ресурсу	Цільовий сервер або мережа отримує набагато більше запитів, ніж може обробити, що призводить до збою в обробці або повної недоступності для звичайних користувачів. Сервер може витратити всі свої ресурси на обробку атакуючого трафіку, що заважає йому обслуговувати легітимних користувачів.
Виснаження захисту	У складних атаках можуть використовуватися різноманітні методи, щоб обійти системи захисту, такі як фаєрволи та системи виявлення атак. Атаки можуть тривати від кількох хвилин до кількох днів, залежно від цілей зловмисника.

Мета DDoS  атак

Перевантаження ресурсів	Зробити цільовий ресурс (веб-сайт, сервер) недоступним для легітимних користувачів, шляхом перевантаження його запитами.
Фінансові втрати	Атаки можуть призвести до значних фінансових втрат для компаній через зниження доходів, витрати на відновлення та захист.
Шантаж	Зловмисники можуть вимагати викуп за припинення атаки, що є формою кібершантажу.
Конкуренція	У деяких випадках DDoS-атаки можуть використовуватися для підриву бізнесу конкурентів, зменшуючи їх доступність та вплив на ринку.
Політичні чи ідеологічні мотиви	Атаки можуть бути частиною протестів або дій, спрямованих проти певних організацій чи урядів.
Демонстрація можливостей	Зловмисники можуть використовувати DDoS-атаки для демонстрації своїх навичок, залучення уваги або створення репутації у кіберзлочинному світі.
Відволікання уваги	Атака може бути використана як димова завіса для інших злочинних дій, наприклад, зламів або крадіжки даних, у той час як ресурси компанії зосереджуються на відбитті атаки.

Наслідки DDoS-атак

Фінансові втрати	Прямі втрати через зниження доходів під час простою сервісу. Витрати на відновлення та підвищення безпеки після атаки.
Шкода репутації	Втрата довіри клієнтів, оскільки недоступність сервісів може викликати негативні асоціації з брендом. Можливі наслідки для бізнесу в довгостроковій перспективі, включаючи зменшення клієнтської бази.
Витрати на захист	Інвестування в додаткові системи захисту, такі як фаєрволи, системи виявлення атак і послуги CDN. Розробка стратегій реагування на інциденти та навчання персоналу.
Юридичні наслідки	Можливі наслідки для компаній, якщо їхні системи використовуються для атак (наприклад, через зловживання ботнетами). Питання щодо відповідальності за безпеку даних та обслуговування клієнтів.
Вплив на інфраструктуру	Високе навантаження на мережеві ресурси може призвести до збоїв в інших сервісах і вплинути на загальну доступність інфраструктури.
Соціальні наслідки	У разі атак на державні установи або на об’єкти критично важливої інфраструктури, наслідки можуть вплинути на безпеку та стабільність суспільства.

Методи захисту від DDoS-атак

Використання мережевих фаєрволів	Налаштування фаєрволів для блокування підозрілого трафіку та обмеження кількості з’єднань.
Системи виявлення та запобігання атак (IDS/IPS)	Використання IDS/IPS для моніторингу мережевого трафіку та виявлення аномалій, що можуть свідчити про атаку.
Розподілені мережі доставки контенту (CDN)	Використання CDN для розподілу трафіку та зменшення навантаження на основні сервери.
Фільтрація трафіку	Впровадження механізмів фільтрації для блокування шкідливого трафіку, що надходить з відомих джерел атак.
Резервування ресурсів	Наявність додаткових ресурсів (серверів, пропускної здатності), які можна активувати в разі атаки.
Обмеження швидкості (Rate Limiting)	Встановлення обмежень на кількість запитів з однієї IP-адреси, щоб запобігти перевантаженню.
Партнерство з постачальниками послуг захисту	Використання послуг компаній, що спеціалізуються на захисті від DDoS-атак, які можуть забезпечити додаткові рівні захисту
Моніторинг та аналіз трафіку	Постійний моніторинг мережевого трафіку для виявлення аномалій та швидкого реагування на атаки.
Аудит безпеки	Регулярний аудит систем безпеки для виявлення вразливостей, які можуть бути використані під час атак.
Навчання та підготовка персоналу	Проведення навчань для співробітників, щоб вони знали, як реагувати на DDoS-атаки та вміли виявляти підозрілі дії.

Юридичний аспект

Кримінальна відповідальність	У більшості країн DDoS-атаки вважаються злочином і підпадають під закони про комп’ютерні злочини. Виконавці можуть бути обвинувачені у злочинному проникненні, саботажі або навмисному порушенні роботи комп’ютерних систем.
Законодавство про кіберзлочини	Багато країн мають спеціальні закони, які регулюють кіберзлочини, такі як Computer Fraud and Abuse Act у США або аналогічні закони в інших юрисдикціях.
Міжнародні угоди	Кіберзлочини, включаючи DDoS-атаки, можуть мати транснаціональний характер, що ускладнює їхнє розслідування. Міжнародні угоди, такі як Конвенція про кіберзлочини, допомагають у співпраці між країнами для боротьби з кіберзлочинністю.
Відповідальність компаній	Компанії можуть нести юридичну відповідальність за недостатній захист своїх систем, якщо вони не вжили заходів для запобігання DDoS-атакам, особливо якщо ці атаки призводять до втрати даних або шкоди користувачам.
Захист даних	Закони про захист персональних даних (наприклад, GDPR в ЄC) також можуть впливати на зобов’язання компаній щодо забезпечення безпеки даних та систем, що в свою чергу може включати захист від DDoS-атак.
Акти тероризму	У деяких випадках DDoS-атаки можуть кваліфікуватися як терористичні дії, особливо якщо їх метою є дестабілізація суспільства чи економіки.

В цьому відео поговоримо про:
00:00 DoS атаки
01:30 Типи атак DoS
03:51 DoS vs DDoS
05:15 Типи DDoS атак
07:42 Етапи DDoS атак
10:13 Мета DDoS атак
12:18 Наслідки DDoS-атак
14:43 Методи захисту від DDoS-атак
17:49 Юридичний аспект

Соціальна інженерія — це техніка маніпуляції, що використовується для отримання конфіденційної інформації, доступу до систем або виконання певних дій шляхом впливу на людську психологію. Замість того, щоб зламувати технічні системи, зловмисники використовують психологічні прийоми для того, щоб переконати жертв видати свої дані або вчинити дії, які можуть загрожувати безпеці.
Використання довіри	Зловмисники часто представляються авторитетними особами або знайомими.
Використання емоцій	Страх, терміновість або співчуття можуть бути використані для впливу на прийняття рішень.
Збирання інформації	Часто соціальні інженери збирають інформацію про жертву, щоб зробити свої маніпуляції більш переконливими.

Типи соціальної інженерії

Фізична соціальна інженерія	форма маніпуляції, яка полягає в отриманні доступу до фізичних об’єктів або приміщень чи отримання важливої інформації шляхом обману або маніпуляції людьми.
Онлайн соціальна інженерія	форма маніпуляції, що здійснюється через інтернет з метою отримання конфіденційної інформації, доступу до акаунтів або виконання дій, які вигідні зловмисникам.
Психологічні маніпуляції	техніки, які використовуються зловмисниками для впливу на мислення та поведінку жертв, з метою отримання інформації або досягнення певних цілей.

Фізична соціальна інженерія

Фізична соціальна інженерія — це форма маніпуляції, яка полягає в отриманні доступу до фізичних об’єктів або приміщень шляхом обману або маніпуляції людьми. Вона часто використовує техніки, які намагаються обійти процедури систем безпеки, покладаючись на людську довіру чи легковажність.
Побудова довіри (building trust)	Цей термін використовується для опису процесу, коли зловмисник намагається переконати жертву довіряти йому чи їй, щоб отримати доступ до інформації або ресурсів. Зловмисники можуть представлятися співробітниками компанії, технічними спеціалістами або службовцями, щоб отримати доступ до закритих територій або систем.
Отримання доступу (getting access)	Цей термін може вказувати на ситуацію, коли зловмисник намагається отримати доступ до об’єктів або інформації, використовуючи фальшиві документи або інші маніпуляції. Використання фальшивих посвідчень особи або інших документів для отримання фізичного доступу до офісів або серверних кімнат.
Скринінг	Спостереження за працівниками з метою визначення їхніх звичок, розкладу роботи та системи безпеки, щоб знайти уразливості.
Використання “соціальної акції”	Зловмисник може організувати подію (наприклад, пожертвування або соціальний захід), щоб залучити людей та отримати доступ до закритих зон.
Залучення допомоги	Просити допомоги у працівників, видаючи себе за кого-небудь, хто потребує допомоги (наприклад, технічна проблема).
Звичайна розмова	Звичайний діалог також може бути способом отримання важливої інформації про потенційну жертву атаки. Наприклад, зловмисник може прагнути отримати інформацію про вподобання, хоббі чи іншу особисту інформацію.

Онлайн соціальна інженерія

Онлайн соціальна інженерія — це форма маніпуляції, що здійснюється через інтернет з метою отримання конфіденційної інформації, доступу до акаунтів або виконання дій, які вигідні зловмисникам. Вона використовує різноманітні методи та техніки для маніпуляції людьми, часто ґрунтуючись на довірі чи емоціях.
Фішинг	Зловмисники надсилають електронні листи або повідомлення, що виглядають як легітимні, щоб змусити користувачів розкрити свої паролі або фінансову інформацію.
Pretexting (Створення легенди чи сценарію)	Зловмисник створює вигадану ситуацію або персонажа, щоб отримати інформацію. Наприклад, може представитися співробітником служби підтримки.
Соціальні мережі	Використання платформ, таких як Facebook чи LinkedIn, для збору інформації про жертв, а також для встановлення контактів та маніпуляцій. Зловмисник може створити підроблений профіль у соціальній мережі та зв’язатися з жертвою, щоб отримати чутливу інформацію.

Психологічні маніпуляції

Психологічні маніпуляції в контексті соціальної інженерії — це техніки, які використовуються зловмисниками для впливу на мислення та поведінку жертв, з метою отримання інформації або досягнення певних цілей. Ці маніпуляції часто ґрунтуються на розумінні людської психології, емоцій та соціальних норм. До основних технік психологічних маніпуляцій відносять:
Створення терміновості	Зловмисники створюють відчуття терміновості, примушуючи жертву діяти швидко, без обдумування. Наприклад, “Ваша картка заблокована, терміново підтверджуйте дані!”
Використання страху	Маніпулятори можуть погрожувати негативними наслідками (наприклад, юридичними проблемами або фінансовими втратами), щоб примусити жертву діяти.
Використання авторитету	Зловмисник може представлятися авторитетною особою (наприклад, представником компанії чи правоохоронних органів), щоб отримати довіру та доступ до інформації.
Емоційний шантаж	Застосування емоцій, як-от жалю чи співчуття, для маніпуляції поведінкою. Наприклад, прохання про фінансову допомогу від “постраждалого”.
Соціальна валідація	Використання інформації про те, що інші люди вже виконали певну дію, щоб спонукати жертву зробити те ж саме. Наприклад, “Ваші колеги вже підтвердили дані, зробіть це й ви!”
Залучення до групи	Створення відчуття належності до групи або спільноти, щоб жертва відчувала тиск або бажання відповідати очікуванням.
Підроблені опитування	Зловмисники можуть створювати опитування, які виглядають безневинно, але насправді збирають особисту інформацію.

Baiting

Baiting (приманка) — це техніка соціальної інженерії, яка полягає в заманюванні жертви, використовуючи привабливу пропозицію або матеріал, щоб спонукати її до дії, яка може призвести до компрометації даних або системи. Основні характеристики цієї техніки:
Пропозиція привабливого контенту	Зловмисники пропонують щось привабливе, наприклад, безкоштовне програмне забезпечення, подарунки, чи цікаві матеріали (фільми, музика).
Використання фізичних носіїв	Часто baiting реалізується за допомогою заражених USB-накопичувачів, які можуть бути залишені в публічних місцях. Коли жертва вставляє USB в свій комп’ютер, шкідливе програмне забезпечення активується.
Звернення до емоцій	Техніка може грати на бажанні людини отримати щось безкоштовно або тиснути на співчуття чи викликати у людини цікавість.
Приклад	Зловмисник може залишити USB-накопичувач з написом “Конфіденційна інформація” у громадському місці. Коли хтось візьме і вставить його в свій комп’ютер, шкідливе програмне забезпечення активується, надаючи зловмисникові доступ до системи.

Tailgating (або piggybacking)

Tailgating (або piggybacking) — це техніка несанкціонованого доступу, коли одна особа входить в приміщення або на територію, слідуючи за кимось, хто має право доступу. Цей метод часто використовується в контексті фізичної безпеки.
Фізичний доступ	Зловмисник може слідувати за співробітником, щоб увійти в об’єкт, не маючи власної картки доступу або іншого дозволу.
Соціальна інженерія	Зловмисник може спробувати створити враження, що він є частиною організації (наприклад, задаючи питання або представляючись колегою), щоб уникнути підозри
Короткий проміжок часу	Tailgating зазвичай відбувається швидко, коли двері автоматично відчиняються, або між відкриттям і закриттям дверей.
Приклад	Зловмисник може чекати біля дверей офісу, поки співробітник проходить через систему контролю доступу. Він може підійти близько, коли двері відкриваються, і входити за співробітником, не привертаючи уваги.

Захист від соціальної інженерії

Навчання (тренінги)	Регулярно проводьте тренінги для співробітників про методи соціальної інженерії та актуальні загрози. Це допоможе підвищити їхню обізнаність і здатність розпізнавати маніпуляції.
Перевірка джерел	Завжди перевіряйте достовірність запитів на інформацію. Якщо хтось просить конфіденційні дані, зв’яжіться з ним через офіційний канал (телефон або електронна пошта), щоб підтвердити запит.
Використання двофакторної автентифікації	Двофакторна аутентифікація значно знижує ризики, навіть якщо пароль був скомпрометований. Це надає додатковий рівень захисту.
Обмеження доступу до чутливих даних	Надавайте доступ до конфіденційної інформації лише тим співробітникам, які його потребують для виконання своїх обов’язків.
Використання надійних паролів	Сприяйте створенню складних паролів та їх регулярному оновленню. Уникайте використання однакових паролів для різних облікових записів.
Моніторинг активності	Регулярно перевіряйте системи на наявність підозрілої активності або доступу, що не відповідає нормі.
Захист інформації	Використовуйте шифрування даних і засоби захисту для запобігання витокам інформації.

Захист від соціальної інженерії вимагає комплексного підходу, що включає освіту, навчання та впровадження кращих практик безпеки. Освічені і обізнані співробітники є найкращим захистом від маніпуляцій та атак.

В цьому відео поговоримо про:
00:00 Соціальна інженерія
02:23 Типи соціальної інженерії
04:27 Фізична соціальна інженерія
09:17 Онлайн соціальна інженерія
11:46 Психологічні маніпуляції
20:15 Baiting
22:51 Tailgating (або piggybacking)
26:00 Захист від соціальної інженерії