Закрыть и перейти на сайт ComNews.RU
Новости Редколонка Точка зрения

Вс, 15.09.2019

Полная версия сайта   

 Поиск
USD 64.47 EUR 71.53
15 сентября 2019 года, Вс
Андрей Заикин, руководитель направления информационной безопасности компании КРОК

Уроки от атак WannaCry компании не усвоили

© ComNews
04.09.2017
Андрей Заикин, руководитель направления информационной безопасности компании КРОК
Андрей Заикин, руководитель направления информационной безопасности компании КРОК

Мы живем в эпоху глобальных перемен, вызванных кардинальной трансформацией информационной сферы, на пороге так называемой четвертой промышленной революции, которая открывает недоступные ранее возможности для роста эффективности экономики предприятий. Однако вместе с ними появляются и новые вызовы. Компании терпят колоссальные многомиллионные убытки от кибернападений по всему миру, вирусы наносят ущерб в виде массовых простоев бизнес-процессов и потери конфиденциальных данных, страдает репутация.

Так, например, в июне 2017 года вирус WannaCry приостановил на сутки работу завода японского автопроизводителя Honda.

В целом в первом полугодии 2017 года количество обращений в компанию "Крок", связанных с устранением последствий или необходимостью превентивной защиты от действий вирусов-вымогателей увеличилось более чем в пять раз по сравнению с первым полугодием 2016 года.

В первую очередь это связано с возросшей активностью со стороны хакерских группировок. Также стоит отметить, что уровень развития информационной безопасности в российских организациях не столь высок. Пользователи чаще всего не осведомлены даже об элементарных "правилах гигиены" в области информационной безопасности и не знают, как вести себя в случае кибератаки.

В топ-3 типов атак по количеству скомпрометированных устройств в первом полугодии 2017 года входят вирусы-вымогатели (Ransomware), рекламные расширения (Adware), а также заражение устройств для последующей DDoS-атаки.

Средний срок устранения последствий успешной атаки вируса-вымогателя - от двух-трех часов до двух-трех недель в зависимости от размеров организации и степени компрометации ИТ-инфраструктуры. В ряде случаев от действий вируса-вымогателя пострадали резервные копии, что существенно повлияло на время восстановления информационных систем.

Среди организаций, наиболее подверженных атакам вирусов-вымогателей, можно назвать государственные структуры и компании с государственным участием, а также транспортные предприятия.

По нашим наблюдениям, государственные структуры и компании с государственным участием гораздо больше подвержены действиям вирусов-вымогателей, чем, например, крупные банки, которые, во-первых, сотрудничают с FinCERT, во-вторых, имеют в своих структурах операционные центры информационной безопасности (SOC), обеспечивающие круглосуточный контроль состояния ИТ-инфраструктуры и расследование инцидентов. Кроме того, у них гораздо лучше проработаны регламенты и процедуры на случай противоправных действий злоумышленников, что существенно повышает скорость реакции на инциденты ИБ и обеспечивает минимизацию потенциального ущерба.

Наиболее популярными способами первичной доставки вредоносного ПО (по распространенности) являются фишинговые письма и инфицирование легитимного корпоративного ПО.

Самый распространенный сегодня способ - фишинговые письма, в том числе и почтовые рассылки с информацией от знакомых пользователю сервисов (например, информационное письмо от платежных систем, сервисных провайдеров и прочее). Все помнят прогремевшую новость о том, как клон вируса WannaCry парализовал компьютеры "Башнефти". Известны и другие случаи заражения через электронную почту. Например, злоумышленники взламывают компанию с низким уровнем защиты, которая является контрагентом другой, более крупной компании. Сотрудники этих организаций ведут между собой легитимную переписку, в ходе которой компания с более высокой степенью защиты запрашивает у контрагента какой-либо документ (например, счет на оплату акта приемки-сдачи работ), но получает файл, инфицированный вредоносным ПО.

Однако если такие вирусы, как Petya и WannaCry, шифруют все целиком и сразу понятно по заблокированному компьютеру, что он заражен вирусом, то утечки вследствие появления программ-невидимок можно заметить не сразу. Например, приходит какой-то файл, ничего не подозревающий пользователь его открывает, программа выдает ошибку и закрывается. Но машина уже заражена, она устанавливает соединение с командным центром, получает доступ к файлам на компьютере и незаметно для антивируса их "сливает". Поэтому нужно понимать, что помимо таких громких инцидентов, как Petya и WannaCry, может случиться что-то гораздо менее очевидное.

Стоит отметить еще несколько тенденций в работе хакерских группировок. Во-первых, сегодня практически не осталось хакеров, которые работают в одиночку - по большей части действуют целые команды, участники которых разбросаны по всему миру. Во-вторых, нередко вредоносное ПО распространяется по модели SaaS, получившей популярность не только на рынке корпоративного программного обеспечения, но и на теневом рынке. Все это приводит к необходимости пересмотра механизмов защиты от кибератак.

Для того чтобы одновременно обеспечить и безопасность, и цифровизацию, необходима более интеллектуальная комплексная концепция безопасности, закрепленная в общей стратегии компании.

Мнения авторов рубрики "Точка зрения" могут не совпадать с позицией редакции ComNews.ru, не влияют на выбор и освещение новостей в других частях газеты
Точка зрения

При использовании материалов ссылка на ComNews обязательна.

Свидетельство о регистрации СМИ от 8 декабря 2006 г.
Эл № ФC 77-26395

РекламаПисьмо в редакциюО насAbout us
Новости