SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Кейлоггер для кибербезопасности и оптимизации

Кейлоггер для кибербезопасности и оптимизации
10.04.2023

 |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |    


Руслан Рахметов, Security Vision


Кейлоггер (keylogger) - это средство для получения информации о нажатии клавиш клавиатуры, которое может использоваться внутри разных продуктов ИТ, ИБ, устройств и даже вредоносного ПО. В текущей статье мы разберем возможности сервиса и его применение для решения разных задач.


Применение сервиса в первую очередь развивалось шпионами и злоумышленниками для фиксации действий пользователей. Когда пользователь ищет что-то в интернете, работает с файлами и вводит пароли, он использует различные средства ввода: джойстик, мышь, клавиатуру, сенсорный экран. При этом система фиксирует нажатые клавиши и выполняет соответствующие действия: перемещает аватар в видеоигре и метавселенной, выводит текст на экран, открывает меню и запускает программы. Злоумышленники могут использовать эти данные для получения доступа к сервисам, защищённым паролем, поэтому для защиты важно использовать антивирусы и EDR-системы, которые могут обнаружить и остановить подозрительную активность.


Однако сам по себе кейлоггер как инструмент не несёт вреда и может помочь родителям в контроле детей, компаниям в расследовании инцидентов ИБ или управлении доступом подрядчиков к чувствительным сервисам для повышения безопасности. Ниже мы разберем классические задачи и решения, применяющие клавиатурный перехват.


Действия кейлоггера можно сравнить с работой секретарей на судебных заседаниях, которые тщательно протоколируют все сказанное и произошедшее в зале, для хранения и публикации в соответствии с законом. С точки зрения аудитов и ИТ кейлоггер применяется в системах классов PAM (Privileged Access Management), которые используются для безопасного доступа к базам данных и важным сервисам компании. Система позволяет фиксировать вводимые ИТ-специалистами команды, управляющие данными в сервисах, а также проводить аудит, если что-то в результате работы пошло не так.


ИБ-системы классов UAM (User Activity Monitoring), которые мы уже разбирали ранее, также применяют кейлоггер для задач кибербезопасности: машинное обучение позволяет снимать «клавиатурный почерк» сотрудника, определяя кто использует корпоративный ПК или ноутбук без запуска веб-камеры или системы видеонаблюдения и СКУД в офисе. По скорости набора текста, опечаткам и частым словам/фразам кейлоггер позволяет достаточно точно определить, если вместо нужного пользователя на компьютере авторизовался злоумышленник.


Системы защиты конфиденциальных данных, такие как DLP (Data Loss Prevention), также часто собирают данные, передаваемые в сети интернет и иногда мессенджерах (стоит отметить, что легитимное применение таких средств возможно только на корпоративных устройствах и с получением согласия пользователя, поскольку вмешательство в частную жизнь может привести к штрафам). Поскольку некоторые каналы передачи информации технически невозможно защитить (мессенджеры с шифрованием, проприетарные протоколы в браузерах), кейлоггер позволяет оценить наличие конфиденциальных сведений в тексте ещё до шифрования и поэтому может использоваться для проведения расследований инцидентов. Для безопасности самих пользователей такие системы обычно не сохраняют все сведения и могут формировать инциденты, удаляя сам текст, но позволяя вовремя отреагировать на возможную утечку базы данных клиентов или передачу персональных данных за пределы компании.


Опечатки и другие ошибки при наборе текста – естественное явление, которое, с одной стороны, позволяет определить сотрудника и защитить его устройство, но также может мешать и разряжать. Каждый из нас скорее всего печатал текст на другой раскладке (Ghbdtn! Rfr ltkf&) или просто делал опечатки. Клавиатурный перехват позволяет автоматически обнаружить подобные неудобства и даже автоматически исправить ошибку. Кейлоггер в таких программах, как Punto Switcher, позволяет упростить обычным людям жизнь, но может использоваться злоумышленниками, поэтому для собственной безопасности стоит задуматься о балансе между удобством и возможными последствиями. Помимо клавиатуры современные средства позволяют взаимодействовать и с буфером обмена при копировании и вставке текста, а также осуществлять автозамену, подставляя вместо коротких комбинаций и символов целые слова и фразы. Такой подход можно сравнить с трафаретами и лекалами, которые используются в инженерной графике и начертательной геометрии или граффитистами, которые применяют повторяющиеся элементы в своём творчестве.


Различные сервисы могут использовать искусственный интеллект для подсказок пользователю: в современных мобильных устройствах клавиатуры обычно собирают статистику и предлагают умные варианты для продолжения текста, подходящие эмодзи, которые позволяют быстрее формулировать мысли. Развитые подсказки появились в любимых бизнесом устройствах blackberry, которые всегда славились своими клавиатурам. А после начали применяться и в других продуктах: в зависимости от стиля письма и персональных словарей пользователей перехват текущего вводимого текста позволяет предугадать слова, которые могут пригодиться для продолжения текста. Чем больше пользователь печатает, тем качественнее клавиатура предлагает новые слова, поэтому кейлоггер может ускорить общение. Используется он не только в мобильных устройствах, но и, например в браузерах и поисковиках в интернете. Современные электронные словари и переводчики также применяют кейлоггер для быстрого вывода результата: ещё до того, как слово или фраза набраны целиком. В итоге получаются сервисы, которые чем-то похожи на навигаторы в картах: определяя текущее местоположение по GPS, направление взгляда и финальную точку маршрута, системы могут помочь быстрее найти себя в городских джунглях и дойти до цели. Только вместо координат в спутниковых системах ГЛОНАСС или Starlink, кейлоггер использует статистику нажатых на клавиатуре клавиш.

DLP СЗИ UEBA Подкасты ИБ

Рекомендуем

Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision

Рекомендуем

Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 2. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Кибергигиена: 15 полезных привычек жизни с информацией
Кибергигиена: 15 полезных привычек жизни с информацией
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Обзор публикаций NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements"
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
IPS / IDS системы. Обнаружение и предотвращение вторжений
IPS / IDS системы. Обнаружение и предотвращение вторжений
Положение Банка России № 716-П и управление операционными рисками
Положение Банка России № 716-П и управление операционными рисками
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Комплекс документов СТО БР ИББС. Отраслевой стандарт Банка России
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision

Похожие статьи

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации

Похожие статьи

Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Обзор публикации NIST SP 800-190 "Application Container Security Guide"
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 4. Основные понятия и парадигма - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №1 «Знайте, что вы защищаете и почему»
XDR - eXtended Detection and Response
XDR - eXtended Detection and Response
«Фишки» Security Vision: объекты и процессы
«Фишки» Security Vision: объекты и процессы
Фреймворк COBIT 2019
Фреймворк COBIT 2019
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации