ТМТ
План защиты: как подготовиться к кибератаке
Олег Скулкин
ведущий специалист по компьютерной криминалистике Group-IB
Представьте региональный российский банк средней руки. Назовём его «Банк А». Сисадмин в «Банке А» работал на удалёнке и заходил на серверы банка прямо с домашнего компьютера. Атакующие всегда ищут самое слабое звено, поэтому неудивительно, что взломали сисадмина и через него проникли в инфраструктуру банка. Почти три недели хакеры вели внутри разведку боем, прикидывая, как сподручнее украсть деньги. В банке системы защиты периодически поднимали тревогу, фиксируя, как атакующие сканируют порты серверов и рабочих станций и запускают разные хакерские инструменты. На это никто не обращал внимания, пока из «Банка А» не вывели несколько десятков миллионов рублей.
Другой пример: в «Банке Б» жарким летним днём была зафиксирована попытка вывода денег. Но на стороне атакующих что-то пошло не так, и ничего украсть они не смогли. Служба безопасности «Банка Б» выдохнула с облегчением. И спокойно продолжила работу. Осенью того же года та же хакерская группа, что ломала банк летом, наконец успешно завершила начатое. Деньги вывели, обналичили — всё по классике. Службе безопасности «Банка Б» осталось развести руками и забрать свои трудовые из отдела кадров. Что произошло? Ничего особенного: после летнего инцидента в «Банке Б» не было проведено так называемой «зачистки» — проверки всех хостов и других элементов инфраструктуры на предмет заражения. В результате оставленный в инфраструктуре «Банка Б» «спящий бэкдор» был активирован атакующими осенью, и снова позволил группе взять контроль над нужными системами и на этот раз обогатиться на несколько десятков миллионов рублей.
Когда после сообщения о кибератаке криминалисты Group-IB приезжают на реагирование в офис потерпевшей организации, в 80% случаев они видят одинаковую картину: панику и ужас в глазах сотрудников, отсутствие данных, необходимых для эффективного реагирования, дежурного сисадмина, у которого ограничены доступы, в то время как главный сисадмин укатил отпуск и забрал с собой ключи от серверной. За последние два года около половины российских компаний сталкивались с кибератаками, но только четверть имеет чёткий план реагирования на киберинциденты.
Остальные считают, что кибератаки их не коснутся, и не спешат вкладываться ни в новые технологии проактивной защиты, ни в специалистов, ни в обучение. И это легкомыслие по отношению к кибербезопасности может стать для них роковой ошибкой. В отличие от традиционных рисков для бизнеса, киберинциденты могут настигнуть компании в любой точке мира и парализовать её работу, нанести финансовый и репутационный ущерб.
сумма глобального ущерба от кибератак к 2024 году — прогноз ВЭФ
Долгое время русскоговорящая преступность создавала почти 80% сложных технологических схем в мире, а все новые вредоносные программы, шаблоны и сценарии целенаправленных атак тестировались именно на российских банках. И если в 2018 году 74% финансовых организаций, по нашим оценкам, были не готовы к реагированию на кибератаки, то в прошлом году ситуация стала меняться — таких оказалось только 53%. Банки усилили защиту, повысили степень готовности к инцидентам, и хакерские группы — Cobalt, Silence, MoneyTaker — переключили своё внимание с российских финансовых организаций на иностранные. Как результат, потери от целевых атак на банки в России, согласно отчёту Group-IB, снизились до 93 млн рублей, то есть почти в 14 раз!
Впрочем, хакеров интересуют не только банки. Жертвой вирусов-шифровальщиков (программ-вымогателей, которые проникают на устройство, зашифровывают файлы и требуют выкуп за восстановление информации) может стать любая компания, которая занимается хранением данных, обработкой и их передачей. Причём в последнее время перед тем, как зашифровать данные, злоумышленники скачивают информацию, которую используют при шантаже, чтобы увеличить вероятность получения выкупа. Таким образом, даже заплатив преступникам, компания всё равно лишается своих данных.
Транспортные и промышленные компании, заводы и предприятия ТЭК, аэропорты, метрополитен и другие стратегические объекты с каждым годом привлекают всё большее внимание киберпреступников и прогосударственных хакеров — атаки на IT-инфраструктуру промышленных предприятий растут с каждым годом на 20%.
Так что же следует делать пострадавшим компаниям?
Сразу заметим: универсального плана, волшебной пилюли не существует. Многое зависит от того, что случилось. Одно дело, когда злоумышленники с помощью фишинговой ссылки, которую открыла секретарь, получили доступ к переписке или конфиденциальным данным руководителя компании. И совсем другое — если произошла атака на инфраструктуру компании, выведены деньги или остановлено производство.
Тем не менее независимо от вида киберинцидента существуют несколько правил, выполняя которые компании могут повысить шансы на предотвращение инцидента, а если он произошёл, быстро и эффективно расследовать и минимизировать ущерб.
Начните с аудита
Защищённость компаний на бумаге часто оборачивается беззащитностью перед реальными киберугрозами. Так, 86% веб-ресурсов, требующих идентификации, содержат как минимум одну критическую уязвимость. Один из форматов аудита — Compromise Assessment — позволяет понять, есть ли у злоумышленников доступ к вашим данным и инфраструктуре, выявит следы подготовки к хакерской атаке, признаки компрометации данных, поможет оценить масштаб ущерба и выяснить, какие системы были атакованы и как именно это произошло. Предварительный аудит позволит в случае наступления инцидента минимизировать временные затраты на локализацию этого инцидента и, как следствие, снизить ущерб.
Разработайте подробный план
Служба безопасности в организации должна обязательно иметь подробный план мероприятий на случай инцидента (мы его называем Pre-IR Assessment), который позволит среагировать на инцидент в штатном порядке, а не в режиме «хватай мешки ― вокзал отходит». Таким образом компания может максимально быстро и эффективно справиться с инцидентом, минимизировать ущерб и получить необходимые данные для расследования.
На этом этапе необходимы:
— проверка сетевой и системной инфраструктуры — для возможности полного и корректного сбора цифровых доказательств, способности выявления индикаторов компрометации, готовности оперативно остановить инцидент и управлять сетью в ходе реагирования;
— проверка компетенции сотрудников служб IT и информационной безопасности;
— проверка полноты, актуальности и практической целесообразности регламентов и документации;
— проверка распределения ответственности и организационной структуры команды.
Застраховать киберриски
В России рынок киберстрахования появился недавно, но в остальном мире тема довольно развита. Если в 2017 году рынок киберстраховых премий составил примерно 4,5 млрд долларов, то к 2020 году, по прогнозам, вырастет до 7,5 млрд долларов (данные PwC, Lloyds, BT Intelligence). Обращения в страховые компании обычно происходят после массовых кибератак, как это было с вирусами-шифровальщиками, тем не менее по мере роста осознания жестокой реальности мира киберпреступности, угроз и ущербов, которые происходят ежедневно, растёт и понимание необходимости применения средств защиты в комплексе: консалтинга, аппаратных решений, обучения персонала, киберстрахования.
Довести расследование до конца
Многие компании после произошедшего инцидента проводят внутренний аудит и устанавливают различные средства защиты. Это хорошо, но недостаточно. Необходимо проводить расследование любого инцидента до конца. Надеяться на то, что такое больше не повторится, нельзя. Организация может внедрить адекватную защиту только после того, как станет ясно, что же конкретно произошло. В качестве примера можно привести историю одной компании, которая подверглась атаке шифровальщика. Руководство обратилось к нам за консультацией, и помощь была оказана. Однако, несмотря на наши предостережения, далее компания не стала ничего предпринимать для расследования инцидента и просто возобновила работу. Буквально через три дня та же самая группа злоумышленников атаковала её снова, просто потому что у них остался доступ. Ожидаемо, в результате второй атаки ущерб был гораздо значительнее.
Нанимайте специалистов
Одна из главных проблем многих компаний — отсутствие в компании профильных специалистов с актуальными практическими навыками и знаниями в области кибербезопасности. В любой организации, как правило, есть системный администратор, который мониторит работу средств защиты, выполняет протоколы, заполняет бумаги. Однако такой сотрудник не обладает компетенциями, необходимыми для того, чтобы решать задачи по расследованию инцидента, выявлению причин и, соответственно, их устранению. В принципе, можно использовать специалиста на аутсорсинге, но это должен быть человек, который занимается проблемами киберзащиты постоянно. Такой сотрудник должен не только отвечать за приобретение, настройку и внедрение различных систем безопасности, но и заниматься расследованием всех инцидентов на этом поле.
Ликвидируйте безграмотность!
Средства защиты, даже самые дорогие и навороченные, никогда не дают 100% гарантии. Гораздо дальновиднее вкладывать в людей. Регулярные тренинги на синтетических кейсах и обучение сотрудников цифровой грамотности существенно повышают безопасность компании и её готовность к атаке. Нам постоянно приходится сталкиваться с ситуациями, когда в компании установлено самое современное оборудование и программное обеспечение, но нет специалистов, которые умеют с этим обращаться.
Довольно часто компании считают, что возможные потери окажутся в конечном счёте меньше, чем затраты, которые придётся потратить на обеспечение безопасности, покупку ПО и «железа», наём высококвалифицированных сотрудников. Однако не стоит забывать, что кроме финансового ущерба в результате киберинцидентов компания несёт репутационные потери. А для финансовой организации успешная кибератака с выводом средств может стать поводом для приостановки деятельности и отзыва лицензии.