Точка зрения / август 2020
"Задача любой компании сделать так, чтобы затрат на получение информации было больше, чем эффекта от ее получения"

Михаил
Терешков


руководитель направления информационной безопасности АО "ЭР-Телеком Холдинг"
© ComNews
27.08.2020

С переходом на удаленный режим работы, зависимость компаний от Интернета в разы увеличилась. Бизнес начал пользоваться новыми средствами для онлайн-коммуникаций и обмена информацией, что открыло больше возможностей для атак кибермошенников. По данным статистики министерства внутренних дел за 1 квартал 2020 года, количество преступлений в IT выросло на 84%, что составляет 20% от их общего количества. Наши клиенты также повторяют общероссийские тенденции и рост обращений о необходимости обеспечить защиту увеличился вдвое.

Чаще всего жертвами атак становятся государственные учреждения, финансовый сектор, промышленные предприятия, медицинские организации, а также онлайн-сервисы, особенно в период распродаж. И если раньше порог входа в мир киберпреступности был довольно высок, то сейчас, по большому счету, кроме компьютера и подключения к Сети ничего и не требуется. К примеру, обычный школьник старших классов, имеющий некоторые навыки в работе с компьютером может с целью самовыражения или эксперимента, попытаться получить доступ к wi-fi сети соседа, чтобы в тайне от родителей пользоваться интернетом без "Родительского контроля", достаточно посмотреть пару-тройку роликов на всем известном видеохостинге.

Достаточно большое развитие получили услуги по предоставлению вредоносных решений как сервиса, стоимость которых может начинаться от 10$. Например, можно заказать взлом странички в социальной сети практически любого пользователя или заказать DDoS-атаку (атака на отказ в обслуживании) на сервис особо активного конкурента. Это вполне доступно.

Какова цель?

Прежде всего, коммерческая. Хотя на DDoS-атаках состояния не сколотишь, но конкурирующим организациям это весьма выгодно. Выводя из строя онлайн-сервис одной организации в момент массовых акций, у другой появляется отличная возможность "перелить" поток клиентов к себе.

Политическая. Если полностью вывести из строя ресурс, например, государственного портала или избирательной комиссии, то появляется возможность оспорить итоги голосования. Здесь также прослеживается заказной след. К сожалению, это типичная ситуация, когда любая крупная активность или событие в Интернете сопровождается угрозой срыва трансляции или кибератакой.

Похищение данных. Как показал анализ киберугроз за первый квартал 2020 года, более половины атак осуществлялось именно с этой целью. Преступники стремятся украсть информацию для перепродажи. У каждой компании есть своя клиентская база, в которой структурированно хранятся сведения: адреса физических и\или юридических лиц, телефоны, условия договора, предпочтения и т.д. Имея такие данные, заинтересованные лица могут предлагать свои услуги на более выгодных условиях, более осознанно и целенаправленно.

Атаки 2020 года

На мой взгляд, с начала года продолжается активность угроз следующих типов: фишинговые рассылки, вирусы-шифровальщики, шпионское ПО, ВПО для удаленного управления, банковские трояны, майнеры, рекламное ПО, и целенаправленные атаки APT группировок. Это наиболее частые обращения сейчас от наших клиентов. Основным решением может быть восстановление из резервных копий, которым компании иногда пренебрегают или устанавливают слишком непродолжительный срок хранения. Не лишним будет и запрет запуска приложений из недоверенных директорий.

Дело в том, что у людей существует безграничная вера в антивирусы и они, не задумываясь, сами создают прецедент. Пришла какая-то ссылка с якобы полезной программой, он сам по ней перешел, сам скачал, несмотря на предупреждение системы о том, что не стоит доверять неизвестным источникам. Итог – программа оказалась со встроенным вирусом-шифровальщиком, цель которой, максимальное распространение на все доступные устройства с последующим вымоганием средств за разблокировку.

DDoS-атаки (Distributed Denial of Service) или распределенные атаки типа "отказ в обслуживании". Практически все крупные компании посвящают теме информационной безопасности много внимания, есть своя служба, квалифицированные сотрудники. Поэтому данные проблемы беспокоят их в меньшей степени. Подобные проблемы возникают у среднего и малого бизнеса, которые не располагают необходимыми ресурсами, так как "антивирусами" такие атаки не отразишь.

Работает это следующим образом: вредоносный алгоритм проникает на устройство и управляется из единого командного центра злоумышленником, который видит количество "доступных" ему ресурсов для атаки. Любые сетевые ресурсы, например, серверы, сайты, имеют два ограничения: по количеству запросов, которые они могут обслуживать одновременно, и пропускной способности канала, соединяющего ресурс с интернетом. Когда количество запросов превышает возможности, работа или замедляется, или происходит отказ в обслуживании. Последнего и добиваются преступники, чтобы потребовать деньги за остановку атаки или разрушить бизнес компании. По статистике, чаще всего эту схему используют в качестве атаки на операторов связи и телекоммуникационные компании.

Ну и фишинг – один из самых популярных методов, который лег в основу возникшего в прошлом году "Белого кролика". Основной инструмент здесь – переход по ссылкам на копию сайта, где у человека начинают выманивать информацию. И если раньше параллельно с переходом на сайт, на персональный компьютер "жертвы" устанавливалась какая-либо программа, то сейчас это оборачивают в понятные, близкие человеку, события и темы. Например, рассылка от ВОЗ о том, как понять болеешь ты вирусом или нет. Около 13% всех фишинговых рассылок в первом квартале связаны с темой COVID-19. Стоит перейти по ссылке, предлагается пройти тест, а в конце благодарят и предлагают бонус за прохождение опроса. Но чтобы его получить, необходимо оплатить комиссию за перевод или услуги посредника. В лучшем случае, человек переводит небольшую сумму, ничего не получает и забывает об этом, в худшем – его просят ввести учетные данные карты и переводят всю сумму на свой счет.

Как уберечь себя?

Необходимы комплексные меры защиты. Частично их предусматривает сам производитель, встраивая в операционную систему.

Организация защищенного канала. Сотрудник должен иметь возможность подключиться из любой точки мира. Помочь в этом призваны различные VPN-сервисы. Лучше, конечно, использовать свой, развернутый на собственных мощностях и управляемый квалифицированными сотрудниками организации.

Разграничение доступа. Открытыми должны быть только те сервисы, которыми пользуется сотрудник. Избыточный доступ, как правило, ни к чему хорошему не приводит.

Дополнительные ограничения. Не секрет, что мало кто у себя дома уделяет должное внимание вопросам безопасности, начиная с роутеров, на которых стоят по умолчанию заводские пароли и заканчивая прошивками, содержащими уязвимости. Ввиду вышесказанного, у злоумышленников появляется возможность скомпрометировать все устройства, подключенные к роутеру и перехватывать как логины и пароли, так и конфиденциальную информацию, принадлежащую работодателю. Эту проблему можно решить благодаря VPN-сервису, либо посредством дополнительного шифрования трафика. Плюс, если доступ осуществляется с мобильного устройства, необходимо рассмотреть возможность использования MDM (Mobile Device Menegement) – решение, позволяющее управлять доступом с мобильных устройств. В данном случае на устройство устанавливается что-то вроде "контейнера", через который осуществляется доступ к сервисам работодателя. Например, если сотрудник уволился, либо потерял телефон, есть возможность оперативно отозвать доступ и вход с этого устройства в корпоративную сеть блокируется.

Также, не лишним будет внедрение решения по защите конечных устройств пользователей от сложных угроз - Endpoint Detection and Response (EDR). Подобные системы отслеживают все, что происходит на компьютере: актуальное/неактуальное ПО, возможные аномалии и вредоносные активности. Затем оперативно передает эту информацию сотруднику службы безопасности, который в свою очередь, может решить возникающие проблемы или вообще запретить доступ.

Конечно, никто из нас не был готов к такому развитию событий с пандемией и оперативному переводу в онлайн не только сотрудников, но и бизнеса в целом. Поэтому должное внимание необходимо также уделять вопросам взаимодействия между организациями. Как правило, в крупных компаниях применяются серьезные системы защиты и их сложно "подломить". Но злоумышленник может знать, что она взаимодействует с организацией, у которой нет даже, например, межсетевого экрана на периметре сети и у них есть прямое подключение с целевой организацией. Соответственно, добраться до хорошо защищенной компании становится намного легче. Поэтому не стоит забывать об элементарных правилах информационной гигиены, а также выдвигать дополнительные требования по информационной безопасности, подписывать документы, в которых партнеры гарантируют обеспечение каких-то элементарных мер защиты.

Как правило, российские компании, которые сталкиваются с подобного рода проблемами, избегают упоминания в публичной плоскости, чтобы исключить репутационные риски. Профильное сообщество узнает о том, что случилось, когда крупная организация неожиданно объявляет тендер на закупку дополнительных защитных систем или просит подключить решение за один день. Тогда становится понятно, что произошел какой-то инцидент. А вот за рубежом, наоборот, закреплено на законодательном уровне оповещение клиентов в случае утечки данных, иначе это грозит большими штрафами.

Часто бывает так, что пока проблема не возникнет, компания не занимается плотно вопросами информационной безопасности. Чтобы предусмотреть подобного рода риски, существует N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации". В рамках выполнения программы "Цифровая экономика" также необходимо обеспечить максимальную защиту сетевой инфраструктуры всех сервисов. Определенные отрасли, сферы, виды деятельности обязаны каталогизировать и обозначить, какие информационно-телекоммуникационные сети, информационные системы, автоматизированные системы управления являются критически важными (Объектами КИИ), предоставить этот перечень объектов и их категорию значимости в Федеральную службу по техническому и экспортному контролю, а далее внедрить систему защиты этих объектов и информирование о возможных происшествиях или проблемах, например, несанкционированном доступе, Национальный координационный центр по компьютерным инцидентам. Помимо контролирующих функций они обеспечивают обмен информацией на государственном уровне. Например, если возник новый вид вируса-шифровальщика, важно максимально быстро предотвратить его распространение и предупредить компании об актуальном виде угроз.

Но сейчас, все чаще, вектор атаки смещается с организации на конкретных сотрудников и пользователей, так как это проще, чем взламывать структуру организации. Поэтому даже в небольших компаниях должна продвигаться культура информационной безопасности. Мы же с детства знаем правила дорожного движения, здесь точно также, нельзя вставлять найденную флешку в компьютер, отдавать свои логины и пароли другому человеку, выкладывать в интернет конфиденциальную информацию и т.д. По статистике, 80% инцидентов связано не с техническими уязвимостями, а с человеческим фактором, невнимательностью, халатностью, по незнанию.

Конечно, нужно понимать, что стопроцентной защиты не существует. И многое зависит от возможностей злоумышленников, как ресурсных, так и финансовых. Поэтому задача любой организации сделать так, чтобы затрат на получение информации было больше, чем эффекта от ее получения. Тогда злоумышленникам это будет просто не интересно.