Борьба с киберугрозами: чек-лист по защите компании и ликвидации последствий кибератак
foxeel / Depositphotos.com |
Уровень киберпреступности растет с каждым годом – в 2021 году число кибератак в мире выросло на 40% по сравнению с годом ранее, приводит статистику исполнительный директор Ivideon Заур Абуталимов. В России количество таких атак за этот же период увеличилось на 54%. При этом риски кибератак на организации повысились из-за массового перехода на дистанционную работу, считает инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU Артём Мышенков. Взлом домашних компьютеров сотрудников стал важной составляющей таких инцидентов. Злоумышленники пытаются найти уязвимости в софте для удаленной работы, который используют организации. В частности, растет количество атак на VPN-сервисы, через которые сотрудники пользуются корпоративными программами.
Основные виды угроз для компаний остались прежними: это различные виды фишинга, атаки программ-вымогателей, а также атаки типа "отказ в обслуживании" или DDoS, при которых работа инфраструктуры блокируется большим количеством входящих запросов, объяснил Артур Филатов, руководитель бизнеса кибербезопасности Tet (ранее Lattelecom). В нашем материале рассмотрим основные виды киберугроз, определим лучшие способы их предотвращения, а также выясним порядок действий в случае таких атак.
Фишинг
Фишинг (от англ. phishing – преднамеренное искажение слова fishing – ловля на крючок, "выуживание") представляет совокупность действий, направленная на получение данных обманным путем. На сегодняшний день фишинговые атаки являются одним из наиболее популярных видов киберинцидентов, считает Заур Абуталимов. По данным PhishLabs, в первой половине 2021 года общий объем фишинговых атак вырос на 22% по сравнению с аналогичным периодом прошлого года. Цель таких атак – украсть ценную информацию, которую злоумышленники могут использовать с целью кражи денежных средств или шантажа, заключил эксперт.
Одна из схем фишинга заключается в том, чтобы обманом заставить пользователей загрузить вредоносные сообщения, объясняет Заур Абуталимов. При этом, электронное письмо кажется правдивым – используются корректные внешние ссылки, вложения, наименование компаний и логотипы. Письмо убеждает пользователей перейти по ссылке или загрузить файл из вложения. Хотя чаще всего схема фишинга построена с использованием электронной почты, фишинг принимает и другие формы. Это и SMS-сообщения, которые заставляют переходить по опасным ссылкам, и мошеннические телефонные звонки и голосовые сообщения.
Программы-шифровальщики (вымогатели)
Программами-вымогателями называют вредоносное ПО, которое хакер внедряет в систему через электронную почту или другой канал, объяснил Заур Абуталимов. Оказавшись на устройстве, такие программы зашифровывают ценные файлы или их часть. За дешифровку и восстановление документов (а в последнее время еще и за неразглашение информации) хакер требует крупную денежную сумму. Некоторым компаниям бывает проще откупиться от злоумышленника, чем терять время на расшифровку документов, поскольку для ряда организаций простой бизнеса несет более серьезные убытки. Однако по статистике эксперта, около 42% организаций, заплативших преступникам, так и не восстановили доступ к своим файлам. Опасность программ-вымогателей заключается в том, что ее можно непреднамеренно скачать с вредоносного веб-сайта или загрузить вместе с вредоносным вложением. При этом такая программа будет долгое время оставаться незамеченной. Однако эксперт обратил внимание, что даже от такого вируса есть противодействие: можно подобрать программу-декриптор, который восстановит доступ к ценным файлам. Но стоит отметить, что такие декрипторы пока есть не для каждого вируса-шифровальщика.
Вирусы-вымогатели являются настоящим трендом киберугроз, заметил Артём Мышенков. Если раньше распространители вымогателей, как правило, осуществляли массовые атаки, то теперь они перешли к более целевым и увеличили суммы требуемого выкупа. Также в результате атак выставляются на продажу украденные данные компаний и доступы к инфраструктуре. Для вымогательства выкупа используются DDoS-атаки. Наиболее критичны атаки вымогателей для промышленных предприятий и подобных организаций, подчеркивает эксперт. Потому что могут пострадать системы электроснабжения и водоснабжения, что может привести к остановке работы.
Атаки с использованием вредоносного ПО по-прежнему занимают первое место в арсенале киберпреступников, обратил внимание ведущий разработчик компании "РашенСофт" Валентин Попов. В сравнении с I кварталом 2021 года доля этого метода выросла на 15% и составляет 73%. Во II квартале были побиты все рекорды по количеству атак с использованием шифровальщиков: их доля составила 69% среди всех атак с использованием вредоносного ПО.
DDoS-атаки
DDoS-атаки представляют собой следующую систему: атакуемый ресурс автоматически отправляется большое число запросов, чтобы перегрузить сайт и вызвать сбой. Таким атакам чаще всего подвергаются интернет-магазины, банки, организации игровой индустрии (например, онлайн-казино) и др., отметил Заур Абуталимов.
"Человек посередине" (MITM-атаки)
В случае с данной атакой злоумышленник избирает стратегию посредника, объясняет Заур Абуталимов. Нарушитель становится посредине между жертвой-заказчиком и целевым ресурсом и старается перехватить сообщения от одного к другому и заполучить ценную информацию. Таким образом, пока жертва думает, что работает напрямую с веб-сайтом своего банка, злоумышленник создает промежуточный узел, через который получает все интересующие его данные.
Какие решения следует предпринять для предотвращения кибер-угроз?
Основная цель при атаке киберпреступников — это не долгий и хитрый взлом периметра безопасности компании, а конечные пользователи, которые могут случайно открыть фишинговую ссылку и таким образом предоставить злоумышленникам доступ ко всем файлам внутри организации, заметил Артур Филатов. В связи с этим самый эффективный способ снижения рисков всех типов кибератак на бизнес – цифровая трансформация кибербезопасности, которая включает и улучшение "зрелости" предприятий в вопросах кибербезопасности, и использование новых решений, считает он.
Для того, чтобы дополнительно защитить компанию, следует внедрить специальные решения, которые будут автоматически блокировать все попытки взлома, продолжает Артур Филатов. Еще один метод защиты от мошенников – фильтрация всех входящих и исходящих сообщений с помощью межсетевого экрана, который автоматически отклонит все подозрительные письма, содержащие фишинговые ссылки или скомпрометированное ПО.
Для защиты от кибератак важно соблюдать общие рекомендации по личной и корпоративной безопасности, уверен Артём Мышенков. Он предлагает следовать следующему чек-листу для предотвращения киберугроз:
- Своевременно устанавливать обновления ПО.
- Использовать антивирусы, сетевые экраны и другие средства защиты информации, в том числе сервисы для защиты от DDoS-атак.
- В организации стоит наладить процесс управления уязвимостями и инцидентами информационной безопасности: создать регламенты, определить ответственных. Также важно проводить образовательные мероприятия, периодические проверки безопасности компьютеров сотрудников, чтобы предотвратить такие атаки, как, например, социальная инженерия и фишинг.
- Регулярно делать резервные копии важных систем и данных. Хранить копии отдельно от самих систем, чтобы избежать их шифрования программами-вымогателями.
- Применять парольную политику:
- не использовать одинаковые пароли для доступа к разным сервисам;
- не использовать простые и скомпрометированные пароли;
- пользоваться менеджерами паролей;
- использовать двухфакторную аутентификацию везде, где это возможно.
МНЕНИЕ
Заур Абуталимов, исполнительный директор Ivideon:
"Чтобы не попасться на крючок злоумышленников, компаниям важно повышать уровень осведомленности в области кибербезопасности В таком случае актуальным решением станет проведение кибераудита. Сегодня это может быть простое тестирования сотрудников или моделирование настоящих хакерских атак на бизнес. Помимо этого, важно перейти с устаревших технологий защиты информации на сквозные решения, которые работают на основе искусственного интеллекта. При удаленной работе сотрудникам стоит пользоваться проверенными сетями Wi-Fi (злоумышленники часто используют именно Wi-Fi как инструмент кражи данных). Плюс, компании важно вести мониторинг активности в сети для обнаружения следов взлома".
Разумеется, важно заботится о техническом аспекте кибербезопасности и внедрять современные средства защиты как периметра сети, так и приложений, отметил директор центра кибербезопасности Orange Business Services в России и СНГ Юрий Бармотин. Но поддержание должного уровня кибербезопасности – это постоянный процесс, затрагивающую бизнес на всех уровнях, включая организационный. Например, надо включать руководство по информационной безопасности для поставщиков любых услуг, а также повышать осведомленность сотрудников о киберугрозах и обучение их основам "цифровой гигиены".
Какой порядок действий следует предпринять компании, которая уже стала жертвой киберпреступников?
Для того, чтобы эффективно противостоять угрозам информационной безопасности, предприятиям следует иметь четкий план по управлению кибер-кризисом, уверен Артур Филатов. Его наличие помогает установить стратегические рамки и своевременно и безошибочно, в соответствие с обозначенным планом руководить действиями по реагированию и восстановлению после киберинцидента. Как правило, в таком плане описаны различные типы кибер-кризисов, порядок работы каждого сотрудника, а также коммуникация с государственными структурами по дальнейшему расследованию совершенной атаки, объяснил эксперт.
Порядок действий для компании-жертвы киберпреступников будет зависеть от того, какая именно атака проведена на компанию, объясняет Артём Мышенков. В целом алгоритм действий с инцидентами информационной безопасности стандартизирован.
МНЕНИЕ
Артём Мышенков, инженер по безопасности хостинг-провайдера и регистратора доменов REG.RU:
1. Анализ ситуации и оценка ущерба
Сначала нужно проанализировать ситуацию: является ли произошедшее действительно инцидентом ИБ и какой это тип инцидента. Далее важно оценить возможный ущерб и масштаб. Определить, какие компоненты инфраструктуры были затронуты. На этом этапе необходимо сохранить как можно больше данных об инциденте: логи систем и приложений, различные файлы и другие индикаторы компрометации.
Лучше всего сохранить резервные копии скомпрометированных систем. В дальнейшем это может понадобиться для расследования, а также в качестве доказательств в оперативных мероприятиях.
2. Локализация инцидента
Для минимизации дальнейшего ущерба необходимо локализовать инцидент, то есть например, заблокировать вредоносный трафик, изолировать зараженные системы от сети предприятия, отключить часть сервисов и функций, заблокировать скомпрометированные доступы.
3. Устранение уязвимостей
Нужно исправить уязвимости, которые привели к инциденту: установить обновления безопасности, удалить вредоносное ПО, сменить пароли и ключи доступа, которые могли быть скомпрометированы. Возможно, переустановить операционные системы.
4. Настройка средств защиты
Применить правила на сетевых экранах и выполнить необходимые настройки на других системах защиты информации. И, конечно, восстановить работоспособность затронутых систем.
5. Анализ причин и превентивные меры
На последнем этапе нужно проанализировать причины возникновения инцидента. При необходимости скорректировать процедуры реагирования на инциденты. И разработать меры для предотвращения подобных инцидентов в будущем.
Для того, чтобы план противодействия киберпреступникам оставался актуальным, его следует обновлять на регулярной основе – желательно один раз в год, считает Артур Филатов. Главное в случае кибератаки – обеспечить непрерывность ведения бизнеса, считает Юрий Бармотин. А значит, к таким ситуациям надо готовиться заранее – у компании должен быть предусмотрен стратегический план, регламентирующий координацию внутренних и внешних служб, задействованных в купировании последствий атаки, взаимодействии с подрядчиками, партнерами, средствами массовой информации. Далее у компании есть два варианта – либо задействование собственной команды расследования киберпреступлений, либо обращение к подрядчикам на рынке, которые смогут не только расследовать, но и локализовать проблему.
МНЕНИЕ
Алексей Дрозд, начальник отдела информационной безопасности "СёрчИнформ":
"Первым делом, примите экстренные меры, чтобы сузить зону действия злоумышленника. Например, если известно, что это сотрудник – закройте все доступы. Расследование нужно начинать безотлагательно, потому что злоумышленник может по-прежнему находиться внутри ИТ-инфраструктуры, кроме того, у него могут быть соучастники внутри или снаружи компании. В случае с утечкой информации, скомпрометированной может оказаться лишь часть информации, а остальная может быть в процессе "выхода" за периметр. Важно создать историю инцидента, чтобы узнать, как человек получил доступ к информации, в каком месте появилась "дыра", чтобы ее закрыть.
Если скомпрометированными оказались персональные данные клиентов, партнеров или сотрудников нужно уведомить их об инциденте, чтобы они были готовы к возможным дальнейшим действиям мошенников. Это важно и для защиты репутации вашей компании перед клиентами".
***
Статистика демонстрирует увеличение количества киберугроз как во всем мире, так и в России в частности. В России Юрий Бармотин выделил следующие типы киберугроз: здесь преобладают фишинговые атаки, вредоносное ПО для мобильных устройств, программы-шифровальщики, атаки на личные устройства работающих дистанционно сотрудников. Помимо роста интенсивности, злоумышленники стали применять большое количество ранее мало используемых векторов.
При этом главное, не думать, что киберугрозы – это что-то далекое и что они никогда не коснутся вашей компании, обратил внимание Алексей Дрозд. В той или иной мере защитные меры приходится применять даже самой маленькой организации.
При этом важно не только знать порядок ликвидации уже совершенного ущерба от киберпреступников, но и составить план противодействия кибераткам заранее – эксперты по кибербезопасности уверены, что превентивные меры являются наиболее надежным способом противостояния киберугрозам.