Cybersecurity Forum 2018. Что делать бизнесу с кибератаками?

О мировых трендах кибербезопасности, построении систем противодействия киберугрозам и о многом другом говорили на Cybersecurity Forum, который прошел в Киеве в конце мая. Мероприятие организовано компаниями БАКОТЕК и McAfee.

Что происходит в сфере информационной безопасности?

В течение последних двух лет отрасль информационной безопасности (ИБ) развивается очень быстро, поскольку кибератаки усложняются, становятся нестандартными, технологичными. Атаки WannaCry, Petya, от которых сильно пострадала Украина в прошлом году, были яркой демонстрацией возможностей того, что можно сделать с компанией или с целой страной при хорошо продуманном подходе и желании.

Если несколько лет назад в топ приоритетов ИТ-директоров и руководителей ИТ-компаний информационная безопасность стояла где-то на 10-м месте, то сейчас ИБ стабильно занимает по разным опросам 1–2-е места. На уровне государства появляются такие нормативные акты, как «О критической инфраструктуре» или постановление № 95 (требования по безопасности НБУ).

Каковы тренды кибербезопасности?

• Первый тренд — это, конечно, рост числа кибератак.
• Второе, что также на это влияет, — переход в облака.

Множество фирм переносят свои данные и какие-то системы в облака. Компании разрешают сотрудникам работать удаленно, использовать мобильные устройства. Если раньше существовали понятия «наша сеть», «периметр сети», где мы могли что-то ограничить и охранять, то сейчас периметра нет — люди работают в командировках, в кафе, на мобильных устройствах. Таким образом, спектр задач по безопасности вырос: нужно защищать не отдельную сеть, а данные и доступы в облака, мобильные устройства и корпоративную сеть.

• Третий тренд: подготовленных специалистов по ИБ не хватает.

Острый дефицит кадров касается не только Украины, но и развитых стран, таких как США, Великобритания, Ирландия, Германия. А те безопасники, которые работают в компаниях, — сильно перегружены. В небольших компаниях зачастую нет ИБ-специалиста, или защитой занимается системный администратор, у которого знания по информационной безопасности могут быть не очень глубокими.

Как часто компании становятся мишенью атак?

Раньше актуальным было название Incident Responce (реагирование на инциденты), поскольку атаки, инциденты случались редко — раз в неделю или раз в месяц. В данный момент аналитическое агентство Gartner предлагает ввести новый термин: Continious Responce (непрерывное реагирование), поскольку, атаки происходят постоянно, независимо от размера бизнеса.

Технические средства стали позволять хакеру не сидеть за компьютером круглые сутки в поисках своей жертвы. Теперь он делает программу, которая просто сканирует IP-адреса, находит слабые места. И, просматривая список этих адресов, хакер вторым шагом пытается распространить какой-то вирус или глубже просканировать, что еще есть в сети.

Если провести аналогию с домом, то это как будто несколько человек ходят вокруг дома и ищут, как в него попасть. Кто-то в дверь постучит, кто-то ручку подергает – открыто/не открыто, кто-то попытается в окошко подсмотреть, можно туда пролезть или нет, кто-то через крышу ищет вход и т. д. Каждая компания, у которой есть средства мониторинга, реально видит, что практически каждые несколько секунд что-то происходит. Другой вопрос, что средства защиты, которые могут стоять у компаний, все отражают или игнорируют.

Какие бывают атаки и как именно работает хакер?

Первый вариант громкий и быстрый — это криптолокеры. Это когда вирус зашифровал диск и потребовал выкуп за данные. Второй вариант — скрытые атаки, так называемые таргетированные (целенаправленные). Они специально разрабатываются так, чтобы как можно дольше «выжить» в компании, не обнаруживая себя, собрать больше информации и как-то эту информацию переправить тому, кто создал или заказал этот вирус.

Когда хакер действует против конкретной организации, то методы достаточно стандартны. Обычно он вначале изучает: во-первых, людей, работающих в компании, во-вторых — инфраструктуру компании.

Если инфраструктура плохо защищена и ее антивирусное решение не может находить сложные атаки, то путь простой: хакер проникает в сеть или может незаметно прислать какой-нибудь зараженный файл.

В случае, если защита устроена на более высоком уровне, тогда начинается исследование, как проникнуть в компанию через ее сотрудников, или даже руководителя. Хакер изучает профайлы в Facebook, LinkedIn, чем человек, работающий в компании, занимается, в каких группах в соцсетях состоит, и т. д. Злоумышленник изучает поведение человека, круг интересов, и под эти интересы делает специальное письмо или сообщение.

Простой пример: если директор состоит в группе любителей тенниса, то ему может прийти так называемое фишинговое письмо, например, «Ловите билеты на такой-то турнир по хорошей цене». Оно может быть даже отправлено в Facebook в личные сообщения, как ссылка, — вот, мол, заходи сюда, здесь есть то, что тебя интересует. Человеку это интересно, он идет по ссылке, а на сайте уже записан код, который попадает к нему на компьютер и будет выполнять то, на что его запрограммировали. Например, вытягивать какие-то данные или документы.

Или же другая ситуация. У компании два собственника. Хакер может от имени одного из них прислать фальшивое письмо другому, в котором якобы находятся какие-то документы. В файлы уже вложен вирус, который может запустить вредоносную активность и заразить компьютер.

К слову, нечто подобное было с атакой Petya. Никто не засылал вредоносные файлы напрямую. Хакеры нашли хороший backdoor (заднюю дверь) через программу M.E.Doc, которая была не защищена, стояла в любой компании и которой все доверяли.

Совет для любого руководителя и его сотрудников: быть внимательными к тому, что вы делаете в соцсетях. Если вы человека не знаете, а он напрашивается к вам в друзья без какого-либо вступительного письма, не добавляйте его бездумно, а лучше напишите контрольное «Мы знакомы?». В борьбе за безопасность нужна профилактика, разъяснительная работа, тренинги, на которых бы рассказали сотрудникам, как себя вести в интернете.

Что делать бизнесу в первую очередь?

Оценить риски. Посчитать, сколько именно потеряет бизнес, если один день в компании не будет работать один компьютер? А пять? А если вся компания не сможет функционировать? При этом необходимо учесть, что при серьезном заражении устранение последствий может продлиться недели и месяцы.

Если более подробно, то малому бизнесу нужно в первую очередь работать с компаниями, которые могут им помочь правильно настроить систему резервного копирования (то, что спасало от выкупа создателям Petya), антивирусную систему. Причем, стоит покупать не просто антивирус как якобы дешевый вариант, а те антивирусные системы, у которых есть новые модули.

Вкратце, есть два типа антивирусов. Старые, так называемые сигнатурные: у антивируса есть база, когда он получает вирус, он сравнивает его с теми, что есть в его сигнатурной базе. Если в базе есть данные про этот вирус, тогда его антивирус не пускает. Новые антивирусы могут выявлять новые вирусы, которых у них еще нет в базе, — то есть, могут отражать атаку нулевого дня. Методы, которые при этом используются — разные: поведенческий, эвристический анализ. Это значит, что антивирусная система анализирует то, что делает файл. Такой антивирус сам закрывает файлы, восстанавливает систему, ликвидирует последствия.

Кроме того, фирмы, которые занимаются ИБ, должны подсказать, как настроить элементарные настройки Windows, сети, коммутаторы, резервные системы. Потому что это — базовый уровень. Если это все будет настроено правильно, то какую-то часть угроз мы уже сможем снять. После правильной настройки инфраструктуры мы добавляем элементы защиты, такие как антивирусные комплекты, фаерволы следующего поколения.

Антивирусные комплекты — это не просто один антивирус. Могу рассказать на примере нашей компании. У нас есть несколько различных комплектов, в которые входят разные модули.

Например:

1. Антивирусный модуль (сигнатурный, база вирусов).
2. Модуль, который отвечает за доступ к web. Можно отслеживать, на хороший или плохой сайт заходит пользователь. Если в базе сказано, что репутация сайта плохая, он с подозрительной активностью или вирусами, то политиками можно настроить запрет захода на этот сайт.
3. Модуль device-control. Позволяет ограничивать пользование съемными носителями. Мы можем отключить/включить возможность пользования флешками. Или настроить только на запись информации.
4. Модуль applicationcontrol. Позволяет запускать только те программы, которые есть в белом списке (разрешенных). К примеру, у кассира или бухгалтера существует определенный набор программ и им больше ничего не нужно для работы. Этот модуль не разрешает запуск других программ. Даже если приходит какой-то файл с вирусом, файл не будет запущен благодаря модулю (именно он помог некоторым компаниям справиться с Petya).
5. Дополнительные модули. Они могут быть активной защитой нового поколения, которая может бороться с новыми вирусами, особенно с криптолокерами.

У среднего бизнеса — еще более серьезная задача. У него точно должен быть человек или группа людей, которые занимаются информационной безопасностью компании. Обычно это — директор по ИБ, администратор ИБ или целый отдел со своим директором, админом и т. д. В данном случае, в зависимости от рисков и задач самой организации, встает вопрос построения Центра управления безопасностью (Security Operation Center — SOC).

В данный момент это — очень модная тема, и в большинстве компаний, где есть отдел безопасности, SOC в некотором роде уже существует. Он в любом случае занимается настройкой оборудования, расследует какие-то инциденты, отвечают за безопасность. Но для того чтобы эффективно делать мониторинг и предотвращать атаки, необходимо построение адаптивной системы безопасности.

Аналитическое агентство Gartner считает, что SOC должен выполнять несколько функций:

• защищать;
• мониторить, расследовать;
• как можно быстрее реагировать, чтобы устранить атаку.

Идея в том, что существует такой замкнутый цикл защиты. Gartner считает, что системы защиты потерпели поражение, потому что невозможно сделать антивирус, который бы на 100 % защищал рабочую станцию. Потому перед SOC стоит задача: раз невозможно обеспечить стопроцентную защиту, необходимо иметь возможность быстро обнаруживать атаку или инцидент, и как можно быстрее обезвредить.

Поэтому постоянный мониторинг в этом смысле очень правильно и хорошо вписывается. Мы должны знать, что происходит на рабочих станциях, что происходит у нас в сети. Активность — подозрительная или не очень. Как только мы видим что-то необычное, у нас должны быть инструменты, которые позволят очень быстро устранить и минимизировать ущерб.

Кстати, интересный момент. Gartner считает, что нам нужно мониторить все, и не только подключать стандартные системы, такие как сеть, серверы и т. д., но и пополнять мониторинг другими системами — учета рабочего времени, кадров.

Простой пример: мы видим какой-то инцидент — пользователь три раза неправильно набрал пароль. В-принципе, вроде ничего страшного. Но если мы знаем, что он — в командировке в другой стране и подключается по VPN, то критичность события повышается. А если мы вообще видим по системе учета кадров, что этот человек — в отпуске, а компьютер его находится здесь, то это еще более критичный инцидент.

Gartner также рекомендует собирать как можно больше информации и не только внутри компании, а и подключать внешние источники. Кроме того, необходимо автоматизировать все, что можно автоматизировать.

Наиболее часто встречающиеся мифы среди пользователей

Миф 1. Существуют технологии и системы, которые могут обеспечить полную защиту.

Миф 2. Можно защититься бесплатными решениями, которые входят, например, в состав ОС.

Миф 3. Представители бизнес-структур компании считают, что лучше знают, что и как делать в области защиты данных (зачастую навязывая то или иное решение в ущерб безопасности данных, так как отсутствует взаимопонимание между представителями различных департаментов и службой информационной безопасности).

Миф 4. Управление сервисами безопасности сложно и дорого.

Миф 5. Облачные технологии безопасны.

Миф 6. Достаточно приобрести и инсталлировать лучшую на данный момент систему по обеспечению безопасности, чтобы обеспечить себе отсутствие любых проблем в дальнейшем.

Миф 7. Аутсорсинг в области безопасности недопустим, и отдавать часть работы по защите своей информационной системы и данных сторонней организации и специалистам нельзя.

Использовалась статья Руслана Барбашина (McAfee): «Что делать бизнесу с кибератаками: объяснение на пальцах»