Знай свой личный ландшафт угроз

Понятие ландшафта угроз из корпоративной безопасности можно применить и к самому себе — так проще оставаться в безопасности.

Персональный ландшафт угроз: защищаемся с умом

Если пытаться защититься от всех на свете угроз, можно быстро устать и одновременно сделать свою жизнь совершенно невыносимой. Трехфакторная аутентификация тут, пароль в 20 символов с нотами и иероглифами там, разные браузеры для разных сервисов и полный отказ от социальных сетей — звучит не то чтобы жизнеутверждающе.

И что самое обидное, все это не поможет вам угнаться за всеми угрозами: постоянно появляются новые, и от них нужны новые способы защиты. А каждый следующий слой защиты зачастую снижает удобство использования — согласитесь, что без той же двухфакторной аутентификации проще, чем с ней. И это еще самый безобидный пример. Что делать? Составить свой персональный ландшафт угроз, как это делают при работе с безопасностью в корпорациях, — и защищаться только от них.

Что такое ландшафт угроз и какое отношение он имеет к вам

В корпоративной безопасности ландшафт угроз — это совокупность всех кибернеприятностей, которые угрожают компании из определенной отрасли в определенный период времени. Сюда относятся и уязвимости, и зловреды, и группы злоумышленников, ими оперирующие, и приемы, которые эти группы используют.

Обзор ландшафта угроз делают для того, чтобы представлять, от чего именно компанию нужно защищать. Какие-то угрозы будут более актуальными в зависимости от местоположения или рода деятельности компании, какие-то — менее. Поскольку бюджет на безопасность не резиновый — равно как и штат сотрудников, ею занимающихся, — защищаться имеет смысл от действительно актуальных угроз.

Почему бы не составить такой же ландшафт угроз для себя — и не выстраивать собственную стратегию защиты, исходя из него? Так вы сможете не увязнуть в многочисленных слоях защиты и продолжать пользоваться Интернетом с хоть каким-то уровнем комфорта.

Составляем персональный ландшафт угроз

Для каждого человека, как и для каждой компании, ландшафт угроз будет свой, поскольку он зависит от индивидуальных обстоятельств. Пользуетесь ли вы, скажем, TikTok или «ВКонтакте», есть у вас менеджер паролей или нет — все это будет влиять на то, какие угрозы для вас более релевантны. Также влияние оказывает и множество других факторов: где вы живете, какая у вас операционная система на компьютере, в каких мессенджерах и с кем вы общаетесь — и так далее.

Тем не менее во всех этих индивидуальных ландшафтах угроз какие-то элементы будут общими, поскольку все мы живем в ХХI веке, пользуемся компьютерами и смартфонами и выходим в Интернет. Так что условно ландшафт угроз можно поделить на общую и личную части — общая распространяется (более-менее) на всех, а личная зависит от индивидуальных особенностей.

Общая часть ландшафта угроз

Если вы регулярно читаете этот блог, то примерно представляете себе, какого типа угрозы встречаются чаще всего и актуальны вне зависимости от страны проживания. В первую очередь это фишинг, утечки данных и разного рода обманы (скамы). От них надо защищаться всем без исключения.

Лучшая защита от фишинга — умение его распознать. Для этого стоит:

Защититься от утечек данных сложнее, потому что чаще всего виноваты в них не вы, а дыры в безопасности какого-то сервиса, которым вы пользуетесь. А поскольку все мы пользуемся очень большим количеством разных онлайн-сервисов — от соцсетей до интернет-магазинов, от «Госуслуг» до сервисов доставки — уследить за всем бывает сложно.

Так что в целом к утечкам надо быть готовым, а следить за теми, которые релевантны лично для вас, поможет любой из новой линейки продуктов Kaspersky с функцией уведомления об утечках. Впрочем, отследить — это, конечно, хорошо, но данные-то все равно утекают. Что ж, на это можно только реагировать: вовремя менять пароли, блокировать карты (если есть такая необходимость) и понимать, что письмо с обращением по имени и отчеству с указанием имени вашего личного менеджера в банке не гарантирует, что оно и правда из этого банка. Возможно, у банка украли базу данных, и теперь мошенники используют ее для фишинга.

Наконец, схемы обмана бывают самые разные — и уж они-то точно сильно различаются от страны к стране. Тем не менее у них все равно будут общие черты. Как и в случае с фишингом, лучшая защита — это знание. Так что почитайте наш блог, чтобы знать о различных схемах обмана, и критически смотрите на все, что либо выглядит слишком хорошим, либо громко вопит об опасности и требует срочной реакции — мошенники обычно либо играют на человеческой жадности, либо пытаются создать стрессовую ситуацию, чтобы жертва занервничала и потеряла бдительность.

Это три самых распространенных типа угроз, которые релевантны для всех. Дальше поговорим про личную часть, которая будет зависеть от того, кто вы и какие у вас привычки в Интернете.

Личная часть ландшафта угроз

Для составления персонального ландшафта угроз сначала придется заняться интроспекцией — описать себя и свои привычки. Какими сервисами и мессенджерами вы пользуетесь? Есть ли у вас рабочий телефон отдельно от личного? Работаете ли вы из дома или из офиса и за каким компьютером?

Дальше — в зависимости от того, что у вас получилось, — можно составлять ландшафт важных для вас угроз и защитных мер, просто последовательно проходя по списку.

Например, вы активно пользуетесь VK.com — тогда для вас опасны взлом учетки, мошенники, прикидывающиеся вашими друзьями, и неправильные настройки приватности. Что делать? Настроить безопасность учетной записи и изучить наш гид по приватности «ВКонтакте». А любителям посидеть в «Одноклассниках» стоит озаботиться защитой профиля и этой соцсети.

В специализированных соцсетях — например, для ценителей вина (Vivino) и любителей пенного напитка (Untappd) — с конфиденциальностью тоже все довольно грустно: по умолчанию ваши алкогольные открытия видны любому желающему. Если вы не хотите делиться с миром информацией о том, как именно вы провели ночь с пятницы на понедельник, обязательно настройте эти приложения так, чтобы ваши винные и пивные похождения остались только вашей тайной.

Или, скажем, вы — геймер и активно пользуетесь Steam. Тогда из угроз, от которых стоит защищаться, следует выделить троянов-стилеров, охотящихся за геймерскими аккаунтами, а также мошенников, часто промышляющих обманом в играх, где есть такая возможность. Что делать? Почитать про особенности мошенничества в Steam, а также настроить функции безопасности этого сервиса.

Или, допустим, вы — блогер или ведущий популярного Telegram-канала. Что ж, тогда для вас наиболее опасны кража аккаунта и доксинг, с которым чаще сталкиваются женщины. Что делать? Знать, как обычно угоняют аккаунты, и иметь надежное защитное решение, нейтрализующее трояны и предупреждающее о фишинге и утечке персональных данных.

Но даже если вы решили, что ни соцсети, ни игры вас больше не интересуют — не стоит оставлять неактивные аккаунты без присмотра: их могут взломать и использовать против вас, получив через них доступ к вашим персональным данным. Вы же узнаете об этом очень нескоро — или не узнаете вовсе. Поэтому мы рекомендуем вам ознакомиться с инструкцией, как поступать с ненужными вам учетными записями.

Многие наивно думают, что с киберобманом можно столкнуться только в личном пространстве, а уж на работе у вас все в порядке, потому что за безопасностью там следят специально обученные люди, да и вообще — там нет места скаму и фишингу! Увы, это не так. Если вы ищете работу — вы потенциально очень привлекательная жертва для мошенников. Если вы недавно вышли на новое место — будьте предельно внимательны, чтобы не быть обманутым псевдоколлегами. Ну а если вы работаете удаленно или используете личный компьютер, то настройте свое домашнее рабочее место так, чтобы никого не подставить, и изучите, какой софт лучше не использовать в рабочих процессах.

И уж особенно осторожным нужно быть, если вы — криптоинвестор: в отсутствие какой-либо правовой защиты операций с криптой важно правильно выбрать стратегию ее хранения, знать о том, что даже «холодные» кошельки могут взломать, и предпринимать все возможные меры для защиты кошельков, приватных ключей и сид-фраз.

Но даже тем, кто расстелил соломку везде, где только можно, установил себе надежный софт для хранения паролей и персональных данных и защитил все возможные учетки двухфакторной аутентификацией, стоит заранее задуматься: а что будет, если ваш смартфон с приложением-аутентификатором сломается, потеряется или будет украден? На помощь придут наши советы о том, как сделать резервную копию аутентификатора и как попытаться восстановить его, если вы все же лишились смартфона, не успев сделать бэкап.

Заключение

Так, проанализировав все сферы своей кибержизни, вы составите персонализированный ландшафт угроз. И, сколь бы грустным это ни казалось, завершить создание этого ландшафта стоит составлением цифрового завещания.

Если вы выстроите личную стратегию защиты, исходя из этого ландшафта, времени и ухищрений потребуется меньше, а эффект будет лучше, чем при попытках защититься от всего и сразу. Разумеется, для этого вам понадобятся знания по безопасности и приватности в Сети. Подпишитесь на нашу рассылку, чтобы получать новые посты, и изучайте то, что укладывается в ваш ландшафт угроз. А наши защитные решения помогут вам нейтрализовывать эти угрозы, следить за утечками и безопасно хранить персональные данные.

Советы