Кибервымогатели: можно ли им эффективно противостоять
Весной 2022 года России объявили настоящую кибервойну. Взламываются сайты, крадется конфиденциальная информация, парализуется деятельность ключевых сфер российской экономики. Кто и зачем пытается проникнуть в корпоративный периметр? И главное — можно ли этому эффективно противостоять? Разбираемся вместе с экспертами компании по кибербезопасности «Бастион».
Внимательнее с подрядчиками
Сегодня самый распространенный вид атаки — компрометация (доступ к конфиденциальным данным) через подрядчиков, которым официально санкционирована работа с ИТ-ресурсами. Примерно в каждом втором исследованном «Бастионом» инциденте атакующие проникли внутрь корпоративного периметра, используя легитимные учетные записи подрядчиков. При таком типе проникновения усложняется детектирование атак: все вредоносные действия выглядят как легальная активность.
В ряде случаев злоумышленники скомпрометировали аккаунты задолго до самой атаки, а доступ оставили до лучших времен. «В инцидентах заметно увеличивается время между первоначальной компрометацией и началом активной фазы атаки», — констатирует руководитель отдела реагирования на инциденты компании «Бастион» Семен Рогачев.
Нередко преступники компрометируют вендора и интегратора ПО и через них добираются до их заказчиков. Например, ряд клиентов компании по внедрению электронного документооборота стали жертвами хакеров из-за проблем с безопасностью у подрядчика. Недавно по рынку прошла информация, что один из хостеров, предоставляющий сервера в аренду, был скомпрометирован, и это ставит под удар множество его партнеров. Однако найти этому фактические подтверждения сложно: проверить уровень защищенности на стороне хостера невозможно.
Кибервымогатели и не только
Еще одна тенденция — увеличение количества атак вирусов-шифровальщиков. До 24 февраля инциденты, при которых злоумышленник, попадая в сеть компании, шифровал данные и требовал выкуп за расшифровку, были достаточно редким явлением в России. Сейчас их стало заметно больше.
«Раньше это была европейско-американская история ужасов, а Россию и СНГ атаки шифровальщиков задевали в гораздо меньшей степени. Сегодня западные страны мы пока не догнали, но относительно наших прежних показателей заметно подросли», — отмечает Семен Рогачев.
А вот политически ангажированная хакерская активность, реализуемая в виде DeFace или DDoS-атак, — явление заметное, но не оказывающее какого-то заметного результата на работу большинства компаний. Практически сошли на нет и атаки майнеров, целью которых была установка на вычислительные мощности ПО для майнинга криптовалют.
Достоверной статистики о количестве инсайдерских атак (в этом случае собственный сотрудник выгружает базу данных или продает ее конкуренту) практически нет, так как компании стараются самостоятельно проводить расследования таких инцидентов.
Чего стало заметно больше, по оценке ИБ-специалистов, это утечек информации: череда информационных сливов породила цепную реакцию. «Допустим, хакеры получили информацию в виде вашей почты, номера телефона и других личных сведений и за счет этого могут успешно проводить атаки против вас (обращаться по имени-отчеству, упоминать какие-то факты вашей биографии и т. д.).
Кроме того, учитывая, что пользователи часто используют одинаковые пароли на разных сервисах, злоумышленник может использовать утекшую пару „логин — пароль“ для взлома других сервисов», — говорит Семен Рогачев.
Между штрафом и выкупом
Пострадавшему бизнесу инцидент с утечками обойдется максимум в 500 тысяч рублей штрафа за утрату персональных данных граждан (законопроект об ужесточении наказания до оборотных штрафов обсуждают уже более года, но скоро он может быть принят). Репутационные потери оценить сложнее.
В случае успешной атаки с помощью шифровальщиков ущерб бизнесу гораздо более ощутимый. За расшифровку бэкапов и прочей нужной информации хакеры требуют выкуп. И это уже очень заметные цифры.
К потерям также относится время простоя. Не все компании могут организовать временную схему работы — через облако или публичные сервисы. Бывают случаи, когда компании теряют по 30 млн рублей в сутки из-за того, что ИТ-инфраструктура фактически выведена из строя. В среднем время простоя измеряется 2–3 неделями. Именно поэтому бизнес зачастую вынужден пойти на условия злоумышленников и заплатить какую-то часть годовой прибыли компании. На Западе уже сформировался четкий прейскурант: 1–5 % от прибыли, в России, по ощущениям, цифры гораздо скромнее.
Как защищаться
В идеале процесс построения защитного периметра начинается с определения модели нарушителя. «Стратегия безопасности должна опираться на знание о том, кто и зачем может атаковать ИТ-инфраструктуру бизнеса», — отмечает руководитель отдела по работе с уязвимостями информационных систем компании «Бастион» Дмитрий Калинин.
Базовые рекомендации по защите не новы: профилактика за счет обучения сотрудников «цифровой гигиене», внедрение инструментов двухфакторной аутентификации, разграничение доступа к конфиденциальной информации. Хорошо работают такие способы защиты, как принцип наименьших привилегий, регулярная инвентаризация и обновления. Про эти простые правила все слышали, но редко кто их выполняет.
Кроме того, в «Бастионе» рекомендуют в отношении потенциальных партнеров проводить OSINT-исследования (от англ. Open Source Intelligence — «разведка по открытым данным»). Это дает возможность хотя бы базовой проверки подрядчика. Ведь полноценное исследование в большинстве случаев невозможно из-за закрытости самого исполнителя.
Тем компаниям, которые отдают аналитику данных на аутсорс, эксперты «Бастиона» советуют рассмотреть решения класса DCAP (Data Centric Audit and Protection — автоматизированное решение по маскированию данных, по замене их ненастоящими).
Государство также призывает к осторожности и активизирует контроль. «Регулятора в первую очередь интересует сам факт наличия того или иного предусмотренного законодательством защитного инструмента. Проверять, насколько хорошо он настроен, возможности у власти нет. То есть бизнесу необходимо вдобавок к тому, чтобы выполнить требования регулятора, еще и озаботиться адекватной практической защитой», — уверен Дмитрий Калинин.