Андрей Заикин, руководитель направления информационной безопасности компании КРОК
© ComNews
04.09.2017

Мы живем в эпоху глобальных перемен, вызванных кардинальной трансформацией информационной сферы, на пороге так называемой четвертой промышленной революции, которая открывает недоступные ранее возможности для роста эффективности экономики предприятий. Однако вместе с ними появляются и новые вызовы. Компании терпят колоссальные многомиллионные убытки от кибернападений по всему миру, вирусы наносят ущерб в виде массовых простоев бизнес-процессов и потери конфиденциальных данных, страдает репутация.

Так, например, в июне 2017 года вирус WannaCry приостановил на сутки работу завода японского автопроизводителя Honda.

В целом в первом полугодии 2017 года количество обращений в компанию "Крок", связанных с устранением последствий или необходимостью превентивной защиты от действий вирусов-вымогателей увеличилось более чем в пять раз по сравнению с первым полугодием 2016 года.

В первую очередь это связано с возросшей активностью со стороны хакерских группировок. Также стоит отметить, что уровень развития информационной безопасности в российских организациях не столь высок. Пользователи чаще всего не осведомлены даже об элементарных "правилах гигиены" в области информационной безопасности и не знают, как вести себя в случае кибератаки.

В топ-3 типов атак по количеству скомпрометированных устройств в первом полугодии 2017 года входят вирусы-вымогатели (Ransomware), рекламные расширения (Adware), а также заражение устройств для последующей DDoS-атаки.

Средний срок устранения последствий успешной атаки вируса-вымогателя - от двух-трех часов до двух-трех недель в зависимости от размеров организации и степени компрометации ИТ-инфраструктуры. В ряде случаев от действий вируса-вымогателя пострадали резервные копии, что существенно повлияло на время восстановления информационных систем.

Среди организаций, наиболее подверженных атакам вирусов-вымогателей, можно назвать государственные структуры и компании с государственным участием, а также транспортные предприятия.

По нашим наблюдениям, государственные структуры и компании с государственным участием гораздо больше подвержены действиям вирусов-вымогателей, чем, например, крупные банки, которые, во-первых, сотрудничают с FinCERT, во-вторых, имеют в своих структурах операционные центры информационной безопасности (SOC), обеспечивающие круглосуточный контроль состояния ИТ-инфраструктуры и расследование инцидентов. Кроме того, у них гораздо лучше проработаны регламенты и процедуры на случай противоправных действий злоумышленников, что существенно повышает скорость реакции на инциденты ИБ и обеспечивает минимизацию потенциального ущерба.

Наиболее популярными способами первичной доставки вредоносного ПО (по распространенности) являются фишинговые письма и инфицирование легитимного корпоративного ПО.

Самый распространенный сегодня способ - фишинговые письма, в том числе и почтовые рассылки с информацией от знакомых пользователю сервисов (например, информационное письмо от платежных систем, сервисных провайдеров и прочее). Все помнят прогремевшую новость о том, как клон вируса WannaCry парализовал компьютеры "Башнефти". Известны и другие случаи заражения через электронную почту. Например, злоумышленники взламывают компанию с низким уровнем защиты, которая является контрагентом другой, более крупной компании. Сотрудники этих организаций ведут между собой легитимную переписку, в ходе которой компания с более высокой степенью защиты запрашивает у контрагента какой-либо документ (например, счет на оплату акта приемки-сдачи работ), но получает файл, инфицированный вредоносным ПО.

Однако если такие вирусы, как Petya и WannaCry, шифруют все целиком и сразу понятно по заблокированному компьютеру, что он заражен вирусом, то утечки вследствие появления программ-невидимок можно заметить не сразу. Например, приходит какой-то файл, ничего не подозревающий пользователь его открывает, программа выдает ошибку и закрывается. Но машина уже заражена, она устанавливает соединение с командным центром, получает доступ к файлам на компьютере и незаметно для антивируса их "сливает". Поэтому нужно понимать, что помимо таких громких инцидентов, как Petya и WannaCry, может случиться что-то гораздо менее очевидное.

Стоит отметить еще несколько тенденций в работе хакерских группировок. Во-первых, сегодня практически не осталось хакеров, которые работают в одиночку - по большей части действуют целые команды, участники которых разбросаны по всему миру. Во-вторых, нередко вредоносное ПО распространяется по модели SaaS, получившей популярность не только на рынке корпоративного программного обеспечения, но и на теневом рынке. Все это приводит к необходимости пересмотра механизмов защиты от кибератак.

Для того чтобы одновременно обеспечить и безопасность, и цифровизацию, необходима более интеллектуальная комплексная концепция безопасности, закрепленная в общей стратегии компании.

Мнения авторов рубрики "Точка зрения" могут не совпадать с позицией редакции ComNews.ru, не влияют на выбор и освещение новостей в других частях газеты