Определение веб-угроз
Веб-угрозы, или онлайн-угрозы, – это категория рисков кибербезопасности, связанных с использованием интернета, которые могут вызывать нежелательные события или действия.
Веб-угрозы могут возникать вследствие уязвимостей систем конечных пользователей, ошибок разработчиков/операторов веб-сервисов или уязвимостей в самих веб-сервисах. Независимо от причин веб-угрозы, ее последствия могут нанести ущерб как физическим лицам, так и организациям.
Этим термином, как правило, обозначают следующие категории сетевых-угроз (но не только их).
- Угрозы для частных сетей: направлены на локальные сети, подключенные к глобальному интернету. Типичным примером таких сетей являются домашние проводные и беспроводные сети, корпоративный интранет и национальные интранеты.
- Угрозы для хостов: направлены на отдельные хост-устройства, подключенные к сети. Под термином хост часто понимают корпоративные конечные устройства или персональные устройства, такие как мобильные телефоны, планшеты и традиционные компьютеры.
- Угрозы для веб-серверов: направлены на специализированное оборудование или программное обеспечение, которое обслуживает сетевую инфраструктуру и онлайн-сервисы.
Что такое веб-угрозы?
Веб-угрозы – это опасности, которые подстерегают людей и компьютерные системы в интернете. К числу этих опасностей относятся и такие хорошо известные угрозы, как фишинг и компьютерные вирусы. Но к этой же группе можно отнести и другие угрозы, например кражу данных офлайн.
Веб-угрозы – это не только те угрозы, которые действуют во время онлайн-активности пользователя или устройства. К ним относятся и угрозы, так или иначе использующие интернет для нанесения ущерба. Хотя не все веб-угрозы создаются преднамеренно, многие из них предназначены для того, чтобы вызвать следующие события (или потенциально могут вызвать их):
- отказ в доступе – блокировка доступа к компьютеру и/или онлайн-сервисам;
- получение доступа – несанкционированное или нежелательное проникновение в личный компьютер и/или онлайн-сервисы;
- несанкционированное или нежелательное использование компьютера и/или онлайн-сервисов;
- несанкционированное раскрытие конфиденциальной информации (например, такой как фотографии, учетные данные аккаунтов или важная государственная информация);
- несанкционированное или нежелательное внесение изменений в компьютерные системы и\или онлайн-сервисы.
За последние годы количество веб-угроз значительно увеличилось. Развитие таких технологий, как умные устройства и высокоскоростной мобильный интернет, приводит к появлению постоянно действующего вектора онлайн-угроз, таких как вредоносное ПО, онлайн-мошенничество и т. п. А темпы внедрения веб-технологий в такие области, как коммуникации и повышение продуктивности, с помощью интернета вещей (IoT) опережают заботу о безопасности пользователей.
Мы все больше зависим от интернета в нашей повседневной жизни, и наши шансы подвергнуться атаке злоумышленников в Сети возрастают в геометрической прогрессии. Иллюзия комфорта и отсутствие осторожности при пользовании интернетом вызывают озабоченность и создают все новые риски для конфиденциальности и безопасности.
И хотя веб-угрозы в основном направлены на компьютеры, в конечном итоге долгосрочные последствия этих угроз испытывают на себе люди.
Из чего состоят веб-угрозы?
Для того чтобы веб-угроза стала поводом для беспокойства, должны сложиться определенные обстоятельства.
Вот несколько основных компонентов любой веб-угрозы.
Мотив угрозы – причина или цель, которая мотивирует агента угрозы на причинение вреда. Некоторые агенты угрозы могут действовать ненамеренно или автономно. В этом случае у них может вообще отсутствовать мотив.
Агент угрозы –кто-то или что-то, кто может совершить негативные действия. При этом интернет может быть как вектором, так и целью угрозы.
Уязвимость – неосторожное поведение человека, несовершенство технологии или что-то другое, что может способствовать вредоносному проникновению или другому инциденту безопасности.
Последствия угрозы – негативные результаты, возникшие вследствие использования агентом угрозы одной или нескольких уязвимостей.
При взаимодействии этих компонентов угроза превращается в атаку на компьютерные системы. Причиной запуска угрозы могут быть деньги, слежка, получение информации, месть, диверсия и многое другое.
Агенты угрозы – это, как правило, лица с преступными намерениями. Если говорить шире, это кто-то или что-то, кто может совершить действия, которые преступник использует в своих целях. Некоторые агенты угрозы, такие как разрушительные явления природы, действуют вообще без участия человека.
Перечислим типы агентов угрозы.
- «Неодушевленный» агент. Это, например, вредоносный код (вирусы, черви, скрипты), природные явления (погода, природные явления), сбой в работе оборудования (электрические сети, телекоммуникации), отказ технологий (аппаратное и программное обеспечение), физические факторы (высокие температуры, вода, механическое воздействие).
- Человек, действующий умышленно. Такой агент преследует злые намерения. Он может быть внутренним (сотрудник, подрядчик, член семьи, друг, знакомый) и внешним (хакер-профессионал или любитель, официальное лицо или агентство, конкурирующее предприятие).
- Человек, действующий неумышленно. Действия такого агента вызваны человеческой ошибкой, небрежностью или недосмотром. Как и в предыдущем случае, такие агенты могут быть как внутренними, так и внешними.
Уязвимости – это слабые места, используя которые, агент угрозы может управлять в своих целях другими субъектами или объектами. Уязвимости можно рассматривать как веб-угрозу и одновременно как фактор, который создает другие угрозы. Уязвимостью обычно становится какая-либо человеческая слабость или техническая недоработка, которые могут привести к проникновению в систему, ее неправомерному использованию или полному уничтожению.
Последствиями угрозы могут стать раскрытие конфиденциальной информации, обман пользователей, нарушение работы компьютерных систем или перехват прав доступа. Вот некоторые типичные последствия веб-угроз:
- репутационные потери: утрата доверия клиентов и партнеров, попадание в черный список поисковой системы, диффамация и т. д.;
- нарушение рабочих процессов: простои, блокировка доступа к онлайн-сервисам, таким как социальные сети или мессенджеры и т. д.;
- кража финансовой информации, идентификационных данных, конфиденциальных данных клиентов и т. п.
Киберпреступники используют любую уязвимость операционной системы или приложения для совершения атаки. Однако большинство из них разрабатывают угрозы для атак наиболее популярных операционных систем или приложений, в том числе:
- Java. Поскольку приложения Java установлены более чем на 3 млрд устройств, работающих на разных операционных системах, злоумышленники создают эксплойты, нацеленные на специфические уязвимости Java на различных платформах или в операционных системах.
- Adobe Reader. Эта программа часто подвергается атакам злоумышленников, поэтому Adobe разработал для нее инструменты для защиты от эксплойтов. Тем не менее, Adobe Reader по-прежнему остается любимой мишенью хакеров.
- Windows и Internet Explorer. До сих пор существуют эксплойты, нацеленные на уязвимости, которые были обнаружены еще в 2010 г., в том числе уязвимость MS10-042 в механизме проверки обращений в Windows Help and Support Center и MS04-028, связанная с некорректной обработкой JPEG-файлов.
- Android. Киберпреступники используют эксплойты для получения прав администратора. После этого они получают почти неограниченный контроль над устройством.
Как распространяются веб-угрозы?
Самые опасные веб-угрозы путешествуют по Сети, чтобы атаковать как можно больше систем. Для достижения своих целей агенты угроз обычно комбинируют манипуляцию человеком и технические приемы.
Такие веб-угрозы распространяются через многочисленные каналы коммуникации, существующие в интернете. Более масштабные угрозы осуществляются через глобальный интернет, более узконаправленные атакуют непосредственно частные сети.
Обычно такие угрозы распространяются через онлайн-сервисы. Злоумышленники любят размещать их в тех местах, где пользователи будут чаще с ними сталкиваться. Часто посещаемые сайты, платформы соцсетей, онлайн-форумы и почтовые серверы идеальны для размещения веб-угроз.
Если пользователи переходят по вредоносным ссылкам, загружают вредоносные файлы, оставляют конфиденциальные данные на веб-сайтах или отправляют их в сообщениях, они становятся жертвами злоумышленников. Такие действия могут привести к заражению вредоносным ПО и дальнейшему распространению веб-угроз среди других пользователей и в других сетях. Часто ничего не подозревающие пользователи сами становятся агентами угрозы.
Как обнаружить веб-угрозы
Несмотря на то что число веб-угроз стремится к бесконечности, все же можно выделить несколько их общих признаков. Однако чтобы обнаружить веб-угрозу, потребуется бдительность и внимательность к мельчайшим деталям.
Некоторые веб-угрозы явно нацелены на веб-инфраструктуру. Это, например, угрозы, связанные с воздействием высоких температур и воды. Их легче всего предусмотреть. Чтобы выявить другие, потребуется большая внимательность. Будьте максимально осторожны во время онлайн-серфинга или обмена цифровыми сообщениями.
Вот на что нужно обращать внимание.
- Грамматические ошибки. При подготовке атаки злоумышленники не всегда уделяют должное внимание качеству сообщений или веб-контента. Обращайте внимание на опечатки, пунктуационные ошибки и неправильное построение фраз.
- URL. Вредоносные ссылки могут быть не видны пользователям и скрываться под другим текстом, наложенным поверх них. Наведите курсор на текст, чтобы проверить, куда в действительности ведет ссылка.
- Плохое качество изображений. Наличие изображений низкого качества или изображений, отличающихся от официальных, может быть признаком вредоносной веб-страницы или сообщения.
Типы веб-угроз
Мы уже упоминали о том, что для реализации веб-атак злоумышленники обычно используют манипуляцию людьми и различные технические приемы. Имейте в виду, что веб-угрозы могут накладываться одна на другую, а иногда возникают одновременно. Вот наиболее распространенные типы веб-угроз.
Социальная инженерия
С помощью методов социальной инженерии злоумышленники обманом вынуждают пользователей совершить действия, противоречащие их собственным интересам. Для этого они обычно входят в доверие к пользователям и вводят их в заблуждение. Вот некоторые разновидности такого метода.
- Фишинг. Злоумышленники представляются сотрудниками официальных организаций, чтобы выманить у своих жертв персональные данные.
- Атаки «на водопое» (watering hole attack). Злоумышленники используют популярные веб-сайты, чтобы обмануть пользователей и заставить их раскрыть информацию.
- Сетевой спуфинг. Злоумышленники организуют поддельные точки доступа, которые имитируют настоящие.
Вредоносный код
Сюда входят вредоносные программы и скрипты (строки команд программирования), которые служат для создания или использования технических уязвимостей. Если социальная инженерия отвечает за человеческий фактор в запуске веб-угроз, то вредоносный код – за технический. Угрозы на основе вредоносного кода включают в себя в том числе следующие.
- Атаки с помощью инъекций: внедрение вредоносных скриптов в легитимные приложения и веб-сайты. В качестве примеров можно привести SQL-инъекции и межсайтовый скриптинг (XSS).
- Ботнеты: захват пользовательских устройств с целью их объединения в сеть с аналогичными «зомби»-устройствами и удаленного автоматизированного использования. Такие сети злоумышленники организуют для ускорения спам-кампаний, атак вредоносного ПО и т. п.
- Шпионское ПО: программы слежения, которые мониторят действия пользователя на компьютере. Типичный пример шпионского ПО – клавиатурные шпионы.
- Компьютерные черви: скрипты, которые запускаются, тиражируются и распространяются автономно, без помощи сопутствующей программы.
Эксплойты
Эксплойты предназначены для умышленного использования уязвимостей, что может приводить к нежелательным инцидентам.
- Брутфорс-атака: попытка вручную или с помощью автоматических инструментов пробить брешь в защите или использовать какие-либо уязвимости. Обычно эти атаки включают генерацию всех возможных паролей к персональному аккаунту пользователя.
- Спуфинг: маскировка реальной идентичности для манипулирования легитимными компьютерными системами. В качестве примеров можно привести IP-спуфинг, DNS-спуфинг и отравление кеша.
Киберпреступность
Термин «киберпреступность» относится к любой противоправной деятельности, совершаемой посредством компьютера. И для осуществления своих планов злоумышленники часто используют интернет.
- Кибербуллинг: психологическое насилие с использованием угроз и преследования.
- Несанкционированное раскрытие данных: раскрытие конфиденциальной информации, в том числе данных электронной переписки, интимных фотографий или значимых корпоративных данных.
- Киберклевета, или кибердиффамация: подрыв репутации физического лица или организации с использованием интернета. Это может быть дезинформация (намеренное распространение ложной или неточной информации) или распространение непроверенной информации по ошибке.
- APT-атаки (целевые продолжительные атаки повышенной сложности): проникновение вредоносных агентов в частную сеть и установка долговременного доступа. Для использования уязвимостей системы и получения такого доступа злоумышленники комбинируют методы социальной инженерии, внедрение вредоносного кода и другие типы угроз.
Обычно под веб-угрозами понимают вредоносные программы, которые могут атаковать пользователей во время работы в интернете. Эти использующие браузер угрозы включают целый спектр вредоносных программ, специально предназначенных для заражения компьютеров пользователей. Основным инструментом таких заражений через браузер является набор эксплойтов, которые позволяют киберпреступникам инфицировать компьютеры, если:
– на них не установлено защитное ПО;
– установленные на них популярные ОС или приложения имеют уязвимости, вызванные тем, что пользователь вовремя не установил обновление или производитель ПО не успел выпустить свежий патч.
Эксперты в области защитных решений Kaspersky Internet Security идентифицировали вредоносные программы, которые злоумышленники активнее всего используют в своих атаках. В этот список вошли следующие типы веб-угроз.
- Вредоносные веб-сайты. Специалисты «Лаборатории Касперского» идентифицируют такие сайты с помощью методов облачного эвристического анализа. Большинство вредоносных URL ведут на сайты, содержащие эксплойты.
- Вредоносные скрипты. Хакеры внедряют вредоносные скрипты в код легитимных веб-сайтов, безопасность которых была нарушена. Такие скрипты используются для осуществления атак путем скрытой загрузки (drive-by attacks). При этом посетители веб-сайтов незаметно перенаправляются на вредоносные онлайн-ресурсы.
- Скрипты и исполняемые PE-файлы. Они позволяют:
-
загружать и запускать другие вредоносные программы;
-
переносить вредоносный код, способный похищать данные из банковских приложений и аккаунтов в соцсетях, а также логины и пароли к другим онлайн-сервисам.
- Троянцы-загрузчики. Эта разновидность троянских программ доставляет на компьютеры пользователей различное вредоносное ПО.
- Эксплойты и наборы эксплойтов. Они используют уязвимости и пытаются обойти средства интернет-защиты.
- Рекламное ПО. Оно часто устанавливается на компьютер пользователя в момент загрузки бесплатного или условно-бесплатного ПО.
Примеры веб-угроз
Среди многочисленных примеров веб-угроз наиболее известны следующие.
Программа-вымогатель WannaCry
В мае 2017 г. программа-вымогатель WannaCry разошлась по множеству сетей и заблокировала бессчетное количество компьютеров, работающих под Windows. Эта угроза оказалась особенно опасной, поскольку интернет-червь WannaCry мог распространяться абсолютно автономно. Для распространения вредоносного кода программа использовала уязвимость языкового модуля Windows.
Утечка фото знаменитостей из ICloud
Жертвами этой целевой фишинговой атаки стали многочисленные знаменитости – пользователи iCloud. Взлом их аккаунтов в конечном итоге привел к несанкционированной утечке огромного количества личных фотографий.
И хотя организаторы были найдены и привлечены к ответственности, жертвы атаки до сих пор страдают от последствий публикации их интимных фотографий без разрешения владельцев. Эта фишинговая атака стала самой знаменитой атакой десятилетия.
Как защититься от веб-угроз
Большинство веб-угроз действуют успешно благодаря двум главным факторам:
- человеческие ошибки;
- технические уязвимости.
Чтобы полностью защититься от веб-угроз, нужно найти способ прикрыть эти слабые места.
Вот несколько общих советов и для конечных пользователей, и для провайдеров веб-услуг.
1. Всегда создавайте резервные копии. Вся ценная информация должна копироваться и храниться в безопасном месте, чтобы предотвратить потерю данных в случае инцидента безопасности. Создавайте резервные копии содержимого веб-сайтов, жестких дисков и даже данных, хранящихся на веб-серверах.
2. Настройте мультифакторную аутентификацию (MFA). MFA позволяет добавить к традиционному паролю дополнительные способы аутентификации пользователя. Организациям следует настроить дополнительный инструмент защиты для конечных пользователей и убедиться, что его используют сотрудники.
3. Проводите проверку на наличие вредоносного ПО. Регулярное сканирование защитит ваши компьютерные устройства от заражения. Все личные устройства можно защитить с помощью такого антивирусного решения, как Kaspersky Premium. Конечные устройства и компьютерные сети предприятий также требуют защиты.
4. Регулярно обновляйте операционную систему, программы и инструменты. Компьютерные системы становятся более уязвимыми, если на них не установлены патчи, закрывающие ошибки программирования. Разработчики регулярно тестируют ПО на наличие слабых мест и выпускают исправления. Устанавливая эти исправления, вы защищаете себя.
Но комплексная безопасность должна начинаться на уровне поставщиков услуг, таких как владельцы веб-сайтов и операторы серверов. Вот какие меры предосторожности им следует принять для улучшения защиты.
1. Мониторить веб-трафик для оценки его нормального объема и выделения закономерностей.
2. Установить файерволы для фильтрации и блокировки несанкционированных веб-соединений.
3. Распределить сетевую инфраструктуру для децентрализации хранения данных и сервисов. Это включает резервное копирование различных ресурсов и ротацию серверов по географическому принципу.
4. Внутреннее тестирование для поиска незакрытых уязвимостей. Это может включать тестовую атаку собственных систем с помощью инструментов для SQL-инъекций.
5. Правильная конфигурация уровней доступа и управления сессиями.
Пользователям следует защищать себя с помощью следующих действий.
1. Сканировать загружаемые файлы на наличие вредоносного ПО.
2. Проверять ссылки перед тем, как нажать. Переходить по ссылкам только убедившись, что они ведут на безопасный и надежный ресурс.
3. Использовать сложные, надежные пароли и не использовать один и тот же пароль дважды. Установить надежный менеджер паролей, чтобы сохранять пароли и управлять своими аккаунтами.
4. Ограничить количество попыток авторизации, чтобы блокировать аккаунт после определенного числа попыток входа.
5. Обращать внимание на признаки фишинга в текстах, электронных письмах и других средствах коммуникации.
В 2021 году защитные решения «Лаборатории Касперского» получили две награды AV-TEST за производительность и уровень онлайн-защиты. Во всех тестах они показали отличные результаты.
Полезные ссылки: