Что делать бизнесу с кибератаками: объясняем на пальцах

Чек-лист для малого и среднего бизнеса, что стоит сделать, чтобы не пасть жертвой атаки
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Когда я начал работать в Украине в 2013 году, ситуация с информационной безопасностью была такой: "хорошо бы, если бы она у нас была, но если нет, то и так сойдет". Инцидентов практически не было, каких-то серьезных атак — тоже. Мало кто понимал, зачем нужно защищаться. Однако вскоре ситуация изменилась в корне.

Что происходит в сфере информационной безопасности?

В течение последних нескольких лет отрасль информационной безопасности (ИБ) развивается очень быстро. Кибератаки усложняются, становятся нестандартными, технологичными. Атаки WannaCry, Not Petya, от которых сильно пострадала Украина в прошлом году, были яркой демонстрацией возможностей того, что можно сделать с компанией или с целой страной при хорошо продуманном подходе и желании. 

Если несколько лет назад в ТОП-приоритетов ИТ-директоров и руководителей ИТ-компаний ИБ стояла где-то на 10 месте, то сейчас информационная безопасность стабильно занимает по разным опросам 1-2 места. На уровне государства появляются такие нормативные акты, как "О критической инфраструктуре" или постановление №95 (требования по безопасности НБУ).

Также мы видим изменение понимания важности ИБ по росту продаж нашей компании и наших конкурентов: рынок стал более динамичным, прогрессивным, происходят закупки, выделяются бюджеты.

Каковы тренды кибербезопасности?

  • Первый тренд, это, конечно, рост числа кибератак.
  • Второе, что также на это влияет — переход в облака.

Множество фирм переносят свои данные и системы в облака. Компании разрешают сотрудникам работать удаленно, использовать мобильные устройства. Если раньше существовали понятия "наша сеть", "периметр сети", где мы могли что-то ограничить и охранять, то сейчас периметра нет — люди работают в командировках, кафе, на мобильных устройствах. Спектр задач по безопасности вырос: нужно защищать не отдельную сеть, а данные и доступы в облака, мобильные устройства и корпоративную сеть.

  • Третий тренд: подготовленных специалистов по ИБ не хватает.

Острый дефицит кадров касается не только Украины, но и развитых стран: США, Великобритании, Ирландии, Германии. А те безопасники, которые работают в компаниях — сильно перегружены. В небольших компаниях зачастую нет ИБ-специалиста или защитой занимается системный администратор, у которого знания по информационной безопасности могут быть недостаточными.

Как часто компании становятся мишенью атак?

Раньше актуальным было название Incident Responce (реагирование на инциденты), поскольку атаки, инциденты случались редко — раз в неделю или раз в месяц. В данный момент аналитическое агентство Gartner предлагает ввести новый термин — Continious Responce (непрерывное реагирование). Поскольку атаки происходят постоянно, независимо от размера бизнеса.

Технические средства стали позволять хакеру не сидеть за компьютером круглые сутки в поисках своей жертвы. Теперь он делает программу, которая просто сканирует IP-адреса, находит слабые места, и, просматривая список этих адресов, хакер вторым шагом пытается распространить какой-то вирус или глубже просканировать, что еще есть в сети.

 Если провести аналогию с домом, это будто несколько человек ходят вокруг дома и ищут, как в него попасть. Кто-то в дверь постучит, кто-то ручку подергает — открыто/не открыто, кто-то попытается в окошко подсмотреть, можно туда пролезть или нет, кто-то через крышу ищет вход. Каждая компания, у которой есть средства мониторинга, реально видит, что практически каждые несколько секунд что-то происходит. Это как система видеонаблюдения. Другой вопрос, что средства защиты, которые могут стоять у компаний, что-то отражают, а что-то — нет. Если у вас дома сигнализация, она сработает, если вор проникнет в дом, но уберечь от кражи не сможет. Поэтому нужны другие средства для обеспечения безопасности.

Какими бывают атаки и как именно работает хакер?

Первый вариант громкий и быстрый — это криптолокеры. Это когда вирус зашифровал диск и потребовал выкуп за данные. Второй вариант — скрытые атаки, так называемые таргетированные (целенаправленные). Они специально разрабатываются так, чтобы как можно дольше "выжить" в компании не обнаруживая себя, собрать больше информации, и как-то эту информацию переправлять тому, кто создал или заказал этот вирус.

Когда хакер действует против конкретной организации, методы достаточно стандартные. Обычно он вначале изучает людей, работающих в компании, и ее инфраструктуру.

Если инфраструктура плохо защищена и решения по информационной безопасности не могут находить сложные атаки, путь прост: хакер проникает в сеть или может незаметно прислать какой-нибудь зараженный файл.

В случае если защита устроена на более высоком уровне, начинается исследование, как проникнуть в компанию через ее сотрудников или даже руководителя. Хакер изучает профайлы в Facebook, LinkedIn, чем человек, работающий в компании, занимается, в каких группах в соцсетях состоит, и т. д. Злоумышленник изучает поведение человека, круг интересов, и под эти интересы делает специальное письмо или сообщение.

Простой пример: если директор состоит в группе любителей тенниса, то ему может прийти так называемое фишинговое письмо, например, "Ловите билеты на такой-то турнир по хорошей цене". Оно может быть даже отправлено в Facebook в личные сообщения, как ссылка — вот, мол, заходи сюда, здесь есть то, что тебя интересует. Человеку это интересно, он идет по ссылке, а на сайте уже записан код, который попадает к нему на компьютер и будет выполнять то, на что его запрограммировали. Например, вытягивать какие-то данные или документы.

Или же другая ситуация. У компании 2 собственника. Хакер может от имени одного из них прислать фальшивое письмо другому, в котором якобы находятся какие-то документы. В файлы уже вложен вирус, который может запустить вредоносную активность и заразить компьютер.

К слову, нечто подобное было с атакой Petya. Никто не засылал вредоносные файлы напрямую. Хакеры нашли хороший backdoor (заднюю дверь), через программу M.E.Doc, которая не была защищена, стояла во многих компаниях и которой доверяли.

Совет для любого руководителя и его сотрудников: будьте внимательны к тому, что вы делаете в соцсетях. Если вы человека не знаете, а он напрашивается к вам в друзья без какого-либо вступительного письма, не добавляйте его бездумно, а лучше напишите контрольное "Мы знакомы?". В борьбе за безопасность нужна профилактика, разъяснительная работа, тренинги, на которых бы рассказали сотрудникам, как себя вести в интернете, как определять фишинговые письма и что делать, если письмо кажется подозрительным.

ЧИТАЙТЕ ТАКЖЕ: Люди в белом: как и зачем становиться "этичным" хакером

Что делать бизнесу в первую очередь?

Оценить риски. Посчитать, сколько именно потеряет бизнес, если 1 день в компании не будет работать 1 компьютер в компании? А 5? А если вся компания не сможет функционировать? При этом необходимо учесть, что при серьезном заражении устранение последствий может продлиться недели и месяцы.

Если более подробно, малому бизнесу нужно в первую очередь работать с компаниями-интеграторами, которые могут им помочь правильно подобрать системы безопасности, установить, настроить и обучить, как пользоваться. Стоит покупать не просто антивирус, причем самый дешевый вариант, а те антивирусные системы, у которых есть новые модули, позволяющие защищаться от современных видов атак, как, например, криптолокеры, о которых мы говорили выше.

Вкратце, есть два типа антивирусов. Старые, так называемые сигнатурные: у антивируса есть база, когда он получает вирус, он сравнивает его с теми, что есть в его сигнатурной базе. Если в базе есть данные про этот вирус, тогда его антивирус не пускает. Новые антивирусы могут выявлять новые вирусы, которых у них еще нет в базе — то есть, могут отражать атаку нулевого дня. Методы, которые при этом используются — разные: поведенческий, эвристический анализ. Это значит, что антивирусная система анализирует, что делает файл. Такой антивирус сам может удалить вредоносные файлы, восстановить систему, и ликвидировать последствия.

Кроме того, фирмы, которые занимаются ИБ, должны подсказать, как настроить элементарные настройки Windows, сети, коммутаторы, резервные системы. Это базовый уровень. Если все будет настроено правильно, то какую-то часть угроз мы уже сможем снять. После правильной настройки инфраструктуры мы добавляем элементы защиты, такие как антивирусные комплекты, фаерволы следующего поколения, веб-прокси, системы защиты данных от утечки и др.

Антивирусные комплекты — не просто один антивирус. Могу рассказать на примере нашей компании. У нас есть несколько различных комплектов, в которые входят разные модули.

Например:

  • антивирусный модуль (сигнатурный, база вирусов);
  • модуль, который отвечает за доступ к web. Можно отслеживать, на хороший или плохой сайт заходит пользователь. Если в базе сказано, что репутация сайта плохая, он с подозрительной активностью или вирусами, то политиками можно настроить запрет захода на этот сайт;
  • модуль device-control. Позволяет ограничивать пользование съемными носителями. Мы можем отключить/включить возможность пользования флэшками и другими подключаемыми устройствами. Или настроить только на запись информации;
  • модуль application control. Позволяет запускать только те программы, которые есть в белом списке (разрешенных). К примеру, у кассира или бухгалтера существует определенный набор программ и им больше ничего не нужно для работы. Этот модуль не разрешает запуск других программ. Даже если приходит какой-то файл с вирусом, файл не будет запущен благодаря модулю (именно он помог некоторым компаниям справиться с NotPetya);
  • дополнительные модули. Они могут быть активной защитой нового поколения, которая может бороться с новыми вирусами, особенно с криптолокерами.

У среднего бизнеса — еще более серьезная задача. Здесь точно должен быть человек или группа людей, которые занимаются информационной безопасностью компании. Обычно это — директор по ИБ, администратор ИБ или целый отдел со своим директором, админом и т. д. В данном случае, в зависимости от рисков и задач самой организации, встает вопрос построения Центра управления безопасностью (Security Operation Center — SOC).

В данный момент это — очень модная тема, и в большинстве компаний, где есть отдел безопасности, SOC в некотором роде уже существует. Он в любом случае занимается настройкой оборудования, расследует какие-то инциденты, отвечает за безопасность. Но для того чтобы эффективно делать мониторинг и предотвращать атаки, необходимо построение адаптивной системы безопасности.

Аналитическое агентство Gartner считает, что SOC должен выполнять несколько функций:

  1. Защищать
  2. Мониторить, расследовать
  3. Как можно быстрее реагировать, чтобы устранить атаку

Идея в том, что существует замкнутый цикл защиты. Gartner считает, что системы защиты потерпели поражение, потому что невозможно сделать средство защиты, которое бы на 100% защищало рабочую станцию или сеть. Перед SOC стоит задача: раз невозможно обеспечить стопроцентную защиту, необходимо иметь возможность быстро обнаруживать атаку или инцидент, и как можно быстрее обезвредить.

Потому постоянный мониторинг в этом смысле очень правильно и хорошо вписывается. Мы должны знать, что происходит на рабочих станциях, что происходит у нас в сети. Активность — подозрительная или не очень. Как только мы видим что-то необычное, у нас должны быть инструменты, которые позволят очень быстро устранить и минимизировать ущерб.

Кстати, интересный момент. Gartner считает, что нам нужно мониторить все, и подключать не только стандартные системы, такие как сеть, сервера и т. д., но и пополнять мониторинг другими системами — например, учета рабочего времени, кадров.

Простой пример: мы видим какой-то инцидент — пользователь 3 раза неправильно набрал пароль. Вроде ничего страшного. Но если мы знаем, что он — в командировке в другой стране и подключается по VPN, то критичность события повышается. А если мы вообще видим по системе учета кадров, что этот человек — в отпуске, а компьютер его находится здесь, это еще более критичный инцидент.

Gartner также рекомендует собирать как можно больше информации и не только внутри компании, а и подключать внешние источники. Кроме того, необходимо автоматизировать все, что можно автоматизировать.