SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кейлоггер для кибербезопасности и оптимизации

Кейлоггер для кибербезопасности и оптимизации
10.04.2023

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Кейлоггер (keylogger) - это средство для получения информации о нажатии клавиш клавиатуры, которое может использоваться внутри разных продуктов ИТ, ИБ, устройств и даже вредоносного ПО. В текущей статье мы разберем возможности сервиса и его применение для решения разных задач.


Применение сервиса в первую очередь развивалось шпионами и злоумышленниками для фиксации действий пользователей. Когда пользователь ищет что-то в интернете, работает с файлами и вводит пароли, он использует различные средства ввода: джойстик, мышь, клавиатуру, сенсорный экран. При этом система фиксирует нажатые клавиши и выполняет соответствующие действия: перемещает аватар в видеоигре и метавселенной, выводит текст на экран, открывает меню и запускает программы. Злоумышленники могут использовать эти данные для получения доступа к сервисам, защищённым паролем, поэтому для защиты важно использовать антивирусы и EDR-системы, которые могут обнаружить и остановить подозрительную активность.


Однако сам по себе кейлоггер как инструмент не несёт вреда и может помочь родителям в контроле детей, компаниям в расследовании инцидентов ИБ или управлении доступом подрядчиков к чувствительным сервисам для повышения безопасности. Ниже мы разберем классические задачи и решения, применяющие клавиатурный перехват.


Действия кейлоггера можно сравнить с работой секретарей на судебных заседаниях, которые тщательно протоколируют все сказанное и произошедшее в зале, для хранения и публикации в соответствии с законом. С точки зрения аудитов и ИТ кейлоггер применяется в системах классов PAM (Privileged Access Management), которые используются для безопасного доступа к базам данных и важным сервисам компании. Система позволяет фиксировать вводимые ИТ-специалистами команды, управляющие данными в сервисах, а также проводить аудит, если что-то в результате работы пошло не так.


ИБ-системы классов UAM (User Activity Monitoring), которые мы уже разбирали ранее, также применяют кейлоггер для задач кибербезопасности: машинное обучение позволяет снимать «клавиатурный почерк» сотрудника, определяя кто использует корпоративный ПК или ноутбук без запуска веб-камеры или системы видеонаблюдения и СКУД в офисе. По скорости набора текста, опечаткам и частым словам/фразам кейлоггер позволяет достаточно точно определить, если вместо нужного пользователя на компьютере авторизовался злоумышленник.


Системы защиты конфиденциальных данных, такие как DLP (Data Loss Prevention), также часто собирают данные, передаваемые в сети интернет и иногда мессенджерах (стоит отметить, что легитимное применение таких средств возможно только на корпоративных устройствах и с получением согласия пользователя, поскольку вмешательство в частную жизнь может привести к штрафам). Поскольку некоторые каналы передачи информации технически невозможно защитить (мессенджеры с шифрованием, проприетарные протоколы в браузерах), кейлоггер позволяет оценить наличие конфиденциальных сведений в тексте ещё до шифрования и поэтому может использоваться для проведения расследований инцидентов. Для безопасности самих пользователей такие системы обычно не сохраняют все сведения и могут формировать инциденты, удаляя сам текст, но позволяя вовремя отреагировать на возможную утечку базы данных клиентов или передачу персональных данных за пределы компании.


Опечатки и другие ошибки при наборе текста – естественное явление, которое, с одной стороны, позволяет определить сотрудника и защитить его устройство, но также может мешать и разряжать. Каждый из нас скорее всего печатал текст на другой раскладке (Ghbdtn! Rfr ltkf&) или просто делал опечатки. Клавиатурный перехват позволяет автоматически обнаружить подобные неудобства и даже автоматически исправить ошибку. Кейлоггер в таких программах, как Punto Switcher, позволяет упростить обычным людям жизнь, но может использоваться злоумышленниками, поэтому для собственной безопасности стоит задуматься о балансе между удобством и возможными последствиями. Помимо клавиатуры современные средства позволяют взаимодействовать и с буфером обмена при копировании и вставке текста, а также осуществлять автозамену, подставляя вместо коротких комбинаций и символов целые слова и фразы. Такой подход можно сравнить с трафаретами и лекалами, которые используются в инженерной графике и начертательной геометрии или граффитистами, которые применяют повторяющиеся элементы в своём творчестве.


Различные сервисы могут использовать искусственный интеллект для подсказок пользователю: в современных мобильных устройствах клавиатуры обычно собирают статистику и предлагают умные варианты для продолжения текста, подходящие эмодзи, которые позволяют быстрее формулировать мысли. Развитые подсказки появились в любимых бизнесом устройствах blackberry, которые всегда славились своими клавиатурам. А после начали применяться и в других продуктах: в зависимости от стиля письма и персональных словарей пользователей перехват текущего вводимого текста позволяет предугадать слова, которые могут пригодиться для продолжения текста. Чем больше пользователь печатает, тем качественнее клавиатура предлагает новые слова, поэтому кейлоггер может ускорить общение. Используется он не только в мобильных устройствах, но и, например в браузерах и поисковиках в интернете. Современные электронные словари и переводчики также применяют кейлоггер для быстрого вывода результата: ещё до того, как слово или фраза набраны целиком. В итоге получаются сервисы, которые чем-то похожи на навигаторы в картах: определяя текущее местоположение по GPS, направление взгляда и финальную точку маршрута, системы могут помочь быстрее найти себя в городских джунглях и дойти до цели. Только вместо координат в спутниковых системах ГЛОНАСС или Starlink, кейлоггер использует статистику нажатых на клавиатуре клавиш.

DLP СЗИ UEBA Подкасты ИБ

Рекомендуем

Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
False или не false?
False или не false?
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Конфиденциальная информация
Конфиденциальная информация
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018

Рекомендуем

Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
Как управлять отарой овец с помощью одной собаки, или актуальные подходы к настройке сетевого оборудования
False или не false?
False или не false?
Тренды информационной безопасности. Часть 2
Тренды информационной безопасности. Часть 2
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Конфиденциальная информация
Конфиденциальная информация
Не доверяй и семь раз проверяй: как устроен Zero Trust
Не доверяй и семь раз проверяй: как устроен Zero Trust
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Управление рисками информационной безопасности. Часть 6. Стандарт ISO/IEC 27005:2018
Управление рисками информационной безопасности. Часть  6. Стандарт ISO/IEC 27005:2018

Похожие статьи

Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127

Похожие статьи

Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Что такое фактор аутентификации, зачем нужен второй и сколько их всего
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Нормативные документы по ИБ. Часть 13. Обзор российского законодательства в области ИБ финансовых организаций – продолжение
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Обзор публикации NIST SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise"
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Управление рисками информационной безопасности. Часть 2. Стандарт NIST SP 800-39
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Обзор публикации NIST SP 800-218 "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities"
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
«Фишки» Security Vision: общее
«Фишки» Security Vision: общее
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127