Борис
Ещенко

ведущий эксперт по технологиям Commvault
© ComNews
21.10.2021

В России промышленная безопасность объектов нефтегазовой отрасли подпадает под общие требования федеральных законов и нормативных актов Ростехнадзора. Цель государственной политики РФ в области промышленной безопасности - снижение риска аварий на опасных производственных объектах, а также минимизация негативных последствий таких аварий.

Нефтегазовый сектор под угрозой: как защитить данные от вирусов-вымогателей?

Число атак вирусов-вымогателей быстро увеличивается, и они наносят значительный ущерб: в среднем убытки от одной атаки составляют 1,85 миллиона долларов (Sophos, The State of Ransomware 2021, апрель 2021 г.). В 70% случаев атак вирусов-вымогателей возникает риск утечки данных, а ставшие жертвами этих атак организации тратят в среднем 21 день на восстановление бизнес-процессов (Coveware Quarterly Ransomware Report, февраль 2021 г.). По прогнозам Cybersecurity Ventures, к 2025 году программы-вымогатели будут обходиться в 10,5 триллиона долларов ежегодно. Это превышает ущерб, причиненный в результате стихийных бедствий за год.

Компании несут огромные убытки, большинство из них не готовы к отражению таких атак, и почти нет компаний, которые заранее разработали план действий в случае атаки вируса-вымогателя. Тем временем жертвами вымогателей становятся новые отрасли.

Почему киберпреступники атакуют нефтяные и газовые компании?

В ноябре 2019 года мексиканская государственная нефтегазовая группа вынуждена была прекратить административную работу из-за атаки вируса-вымогателя. Злоумышленники атаковали при помощи вируса Ryuk, который обычно используется для атак на крупные компании. Однако эта кибератака была своевременно нейтрализована. В результате зараженными оказались лишь 5% компьютеров, а объекты для добычи и хранения нефти не пострадали.

Двумя годами ранее жертвами вымогателя стали российские и украинские компании энергетического сектора, объекты критической инфраструктуры и госорганы.Зашифрованной оказалась вся хранящаяся на серверах информация. В этот раз сработал вымогатель Petya.A с функционалом эксплойта ETERNALBLUE.

Недавний пример – атака программ-вымогателей на Colonial Pipeline 7 мая 2021 года. Этот инцидент может стать поворотным моментом в отношении нефтегазовой отрасли к кибербезопасности. Хакерская атака вынудила Colonial Pipeline перекрыть жизненно важный трубопровод. Хакеры также украли данные компании - около 100 гигабайт.

В ответ на атаку операторы отключили около 5 500 миль трубопроводной системы, которая проходит от Техаса до Нью-Джерси и обеспечивает примерно 45% поставок бензина и дизельного топлива на Восточное побережье США. Даже через несколько дней после того, как Colonial Pipeline вышла в режим нормальной работы, новостные агентства продолжали сообщать о длинных очередях и повышении цен на заправочных станциях по всей стране, а также о нехватке топлива во многих прибрежных штатах.

Данный инцидент высветил значительные риски для операционных технологий и систем управления в критичных инфраструктурах, особенно в нефтяной и газовой отраслях, а также потенциальный весьма ощутимый ущерб от кибератак.

Киберугрозы для нефтегазовой отрасли

Атаки киберпреступников на предприятия нефтегазовой промышленности представляют собой достаточно хорошо известные риски.

Ниже представлены самые активные вирусы-вымогатели (по данным "Лаборатории Касперского"):

Вирус-вымогатель

Его особенности

Maze (ChaCha)

Появился в 2019 году и до осени 2020 года был одним из самых распространенных – на него приходится более трети атак. Если пострадавшие отказывались платить выкуп, хакеры угрожали опубликовать украденные данные. От него пострадали несколько международных корпораций и государственный банк одной из стран. Вымогатели требовали суммы в несколько миллионов долларов.

Conti (IOCP)

Был особенно активен с конца 2019 года до конца 2020-го, его использовали примерно в 13% атак. Злоумышленники предлагают своим жертвам помощь с обеспечением безопасности, если те заплатят выкуп. В противном случае они угрожают опубликовать украденную информацию.

REvil (Sodin, Sodinokibi)

Появился в начале 2019 года в азиатских странах. Для обхода защитных систем использует легитимные функции процессора. Жертвы REvil составляют около 11% атакованных вирусами-вымогателями. Чаще всего это промышленные предприятия, финансовые организации, сервис-провайдеры, реже – юридические, телекоммуникационные и ИТ-компании. В марте 2021 злоумышленники потребовали самый крупный выкуп -50 млн долларов.

Netwalker (Mailto)

Жертвы Netwalker составляют более 10% атакованных. Среди них – логистические, промышленные компании, энергетические корпорации и другие крупные организации. Netwalker можно взять в аренду и в случае успешной атаки получить часть прибыли. С января 2021 года в результате работы правоохранительные органов активность Netwalker сошла на нет.

DoppelPaymer

Его жертвы составляют около 9% в общей статистике. Более ранняя версия DopplePaymer известна как банковский бот Dridex. В числе жертв DoppelPaymer – производители электроники и автомобилей, крупная нефтяная компания из Латинской Америки, государственные организации, включая сферу образования и здравоохранения. Атаки DoppelPaymer продолжаются.

На страже безопасности

В России промышленная безопасность объектов нефтегазовой отрасли подпадает под общие требования федеральных законов и нормативных актов Ростехнадзора. Цель государственной политики РФ в области промышленной безопасности - снижение риска аварий на опасных производственных объектах, а также минимизация негативных последствий таких аварий.

Для организации безопасного удаленного доступа к защищенным сетям важно использовать средства криптографической защиты, для предиктивной защиты можно применять системы анализа трафика NTA (Network Traffic Analysis), развертывать системы обнаружения (IDS) и предотвращения (IPS) вторжений, которые фиксируют и блокируют несанкционированный доступ в компьютерные системы.

Защита с помощью сервисов

Сервисы защиты от вирусов-вымогателей - хорошая мера противодействия кибератакам и снижения рисков. Новые сервисы помогают составить план действий для нейтрализации угроз, обеспечить защиту от атак программ-вымогателей и быстро ликвидировать последствия таких атак. Они помогут бизнесу быть всегда готовым к отражению этой угрозы, обеспечить надежную защиту от атак вирусов-вымогателей и оперативно реагировать на появление новых киберугроз.

Например, компания Commvault разработала сервисы защиты и восстановления данных на основе своей экспертизы и опыта проектирования решений, планирования и управления данными. Новые сервисы дополняют решения Commvault Ransomware Protect and Recover, реализующие основные функции для защиты данных от атак программ-вымогателей.

Так, Commvault Ransomware Protection Service обеспечивает заказчику доступ к ресурсам и экспертизе, которые помогут усилить безопасность внедренных решений Commvault, оценить во временной перспективе состояние решения для защиты данных и в случае атаки быстро восстановить критичные для бизнеса данные. Компоненты сервиса позволяют определить, какие ресурсы уже защищены, и оценить, насколько инфраструктура готова обеспечить постоянную защиту и возможность восстановления. Результатом будет таблица оценок готовности инфраструктуры, основные выводы обследования, рекомендации по совершенствованию защиты и план действий для улучшения безопасности с указанием их приоритетов. Кроме того, можно оценить, насколько уже внедренное решение Commvault соответствует требованиям бизнеса заказчика, изменившимся с учетом новых угроз.

Commvault Ransomware Response Service предоставляет экспертизу и ресурсы для восстановления после атаки вымогателя. Специалисты Commvault Ransomware Recovery Incident Manager and Recovery Operations совместно с заказчиком выявляют бизнес-критичные данные, которые пострадали в результате атаки, и выполняют их восстановление для быстрого возобновления бизнес-процессов.

Commvault предлагает заказчикам стратегический план защиты и готова обеспечить поддержку на любой стадии атаки программы-вымогателя, а также предотвратить такие атаки с помощью сервиса Commvault Protection Review. Разрабатывая подобный план, полезно следовать рекомендациям экспертов.

Предотвратить и восстановить: несколько советов

Вот несколько таких рекомендаций:

Планируйте защиту от программ-вымогателей и процессы восстановления

Рассчитывайте на худшее — подготовьте планы восстановления и подробные программы действий. Крайне важно иметь многоуровневую стратегию безопасности и помнить, что готовность к восстановлению имеет решающее значение. Система защиты должна противостоять атаке, нацеленной на уничтожение основных и резервных копий ваших данных.

Помните: сотрудники – ключевой фактор защиты

Обучайте сотрудников тому, как избегать программ-вымогателей и обнаруживать фишинговые кампании, подозрительные веб-сайты и другие виды мошенничества. Несмотря на свои лучшие намерения, сотрудники по-прежнему являются основной причиной проникновения вредоносных программ. Объясните конечным пользователям, как избежать заражения программой-вымогателем и выявлять фишинговые кампании, подозрительные веб-сайты и другие виды мошенничества.

Не забывайте про актуальные патчи

Обновляйте программное обеспечение, встроенное ПО и приложения, чтобы снизить риск использования распространенных уязвимостей. Многие организации не выделяют время или ресурсы, не пытаются делать это в кратчайшие сроки.

Установите антивирусы и средства защиты от вредоносных программ

Используйте антивирусное программное обеспечение с активным мониторингом, предназначенное для предотвращения сложных атак.

Используйте многофакторную аутентификацию

Процесс аутентификации требует, чтобы у каждого пользователя был уникальный набор критериев для получения доступа. Включение методов многофакторной аутентификации делает крайне маловероятным применение поддельных учетных записей пользователей.

Сегментируйте сети

Не предоставляйте неограниченный доступ к своей сети. Разделите сеть на сегменты, чтобы предотвратить или ограничить ущерб.

Знайте свои данные

Необходимо идентифицировать критически важные для бизнеса и конфиденциальные данные, определить, подвержены ли эти данные уязвимостям. Используя анализ данных, можно эффективно устранять риски, удаляя, перемещая или защищая данные, чтобы снизить вероятность успешных атак программ-вымогателей.

Регулярно выполняйте резервное копирование

Используйте решение резервного копирования и восстановления, которое предлагает многоуровневую структуру для защиты, мониторинга и восстановления от угроз. Оно должно поддерживать быстрое восстановление и предусматривать безопасные облачные копии для дополнительной защиты.

Тестируйте и еще раз тестируйте

Убедитесь, что ваш план будет работать должным образом. Регулярно проводите тесты, чтобы проверить соблюдение соглашений об уровне обслуживания для критически важных и высокоприоритетных данных и приложений.

Используйте панель мониторинга состояния безопасности

Такой инструмент можно применять для оценки работоспособности системы безопасности, мониторинга средств управления безопасностью и пр. Он позволит правильно оценить риски, непрерывно отслеживать состояние безопасности и даст представление о том, как предпринять соответствующие действия.

Применяйте правильную платформу резервного копирования и восстановления

Такая платформа с многоуровневой структурой для защиты, мониторинга и восстановления должна использовать встроенные возможности и интеллектуальную интеграцию с ведущими технологиями кибербезопасности.

Используйте профессиональное решение безопасности

Система информационной безопасности должна уметь распознавать аномалии в сетевой инфраструктуре, предусматривать функции поведенческого анализа использовать технологиями противодействия шифровальщикам.

Делайте аудиты безопасности

Проверяйте защищенность оборудования, следите за тем, какие порты открыты и доступны из интернета. Для удаленной работы используйте защищенное соединение.

Максимально используйте свои технологии

В уже имеющееся программное обеспечение могут быть встроены дополнительные возможности, которые вы можете использовать для улучшения автоматизации, управления и даже обнаружения угроз. Поощряйте своих специалистов учиться и использовать эти возможности.

Но все эти меры должна дополнять эффективная стратегия восстановления. Готовность к восстановлению означает возможность быстрого восстановления данных и приложений вашей организации, что бы ни случилось. В сегодняшней разнообразной ИТ-среде это серьезная проблема.

Стратегия восстановления

Быстрый рост числа атак программ-вымогателей в последние годы тревожит многих. Если данные стали жертвой атаки программы-вымогателя, и их невозможно расшифровать, то выкуп, скорее всего, не даст результата. По данным ежегодного отчета Sophos, по вирусам-вымогателям, из 32% организаций, которые заплатили выкуп за последний год, только 8% удалось расшифровать и получить все свои данные, при этом 29% получают не более половины своих данных.

Вот почему нужна эффективная стратегия восстановления. Для возобновления бизнес-процессов нужно быстро восстановить эти данные по их проверенной резервной копии. Создание надежных и защищенных резервных копий данных применение нескольких инструментов, ресурсов, средств контроля управления, лучших практик и стратегий. Эти средства должны гарантировать безопасность резервных копий и возможность их использования для восстановления данных. Подобные меры дадут уверенность в том, что в случае атаки программы-вымогателя резервные копии будут надежно защищены и по ним можно будет восстановить исходные данные.

Решения для защиты и восстановления данных могут стать важной частью вашей стратегии защиты от программ-вымогателей. Такие решения имеют несколько уровней безопасности, защищая и изолируя ваши данные, обеспечивая проактивный мониторинг и оповещения, а также быстрое восстановление в случае успешной атаки программы-вымогателя. Передовые технологии, основанные на искусственном интеллекте и машинном обучении, позволяют сразу обнаруживать потенциальные атаки и предупреждать о них. Обеспечивая безопасность ваших резервных копий и быстрое восстановление по ним данных, можно минимизировать ущерб даже в случае успешной атаки программы-вымогателя, возобновить нормальную работу компании и не платить огромный выкуп злоумышленникам.

Важнейшие технические возможности плана восстановления включают:

Быстрое обнаружение

Быстро реагируя на атаку, вы можете минимизировать потерю данных и уменьшить ее влияние. Для раннего оповещения о потенциальных атаках используйте аналитику для мониторинга всего пула данных, рисков и соответствия нормативным требованиям.

Оперативное восстановление

Оптимизируя операции с помощью автоматизации и стандартизации, вы можете ускорить восстановление локальных данных, данных в облаке или других данных, где бы они ни размещались.

Тестирование

Убедитесь, что ваши системы, приложения и инфраструктура резервного копирования готовы ко всему, а сотрудники и сторонние ресурсы могут обеспечить своевременное восстановление.

Компания Commvault обеспечивает готовность к восстановлению после действий программ-вымогателей с помощью комплексного решения, которое снижает риски и уменьшает угрозы в конечных точках и приложениях. Будучи уверенными в резервном копировании и восстановлении ваших данных, вы будете меньше опасаться успешной атаки. И не только атаки. Commvault предоставляет простой и эффективный способ восстановления после всех типов аварийных ситуаций. Единая панель управления позволяет консолидировать и оптимизировать стратегию аварийного восстановления в локальных центрах обработки данных, публичных и частных облаках с использованием согласованных стратегических методов управления данными.

Представленная инструментами Commvault информация поможет убедиться в соответствии RPO и RTO параметрам SLA, а также нормативным требованиям. Программное обеспечение Commvault интегрируется с критически важными для бизнеса приложениями, упрощая и автоматизируя весь жизненный цикл данных, поэтому вы будете всегда готовы к восстановлению.