Как обезопасить бизнес от киберпреступников: главные угрозы 2020 года и стратегии защиты от них

Специалисты называют пять основных типов киберугроз: программы-вымогатели, целевые кибератаки, DDoS-атаки, фишинг и внутренние угрозы, связанные с деятельностью инсайдеров и человеческими ошибками. Согласно последнему отчету Verizon по киберпреступности, 86% атак финансово мотивированы: злоумышленники либо напрямую вымогают деньги у жертвы, либо выполняют сторонний заказ, например, конкурентов или иных недоброжелателей.

По словам технического директора компании Fortinet в России Алексея Андрияшина, в наибольшей степени сегодня подвержены атакам операторы связи, финансовые организации, ритейл-сети и промышленный сектор. При этом малый и средний бизнес по мере его цифровизации привлекает все больше внимания киберпреступников. Это объясняется тем, что конкуренция в нем достаточно высока, а возможности киберзащиты и оценки рисков зачастую ограничены. Усугубляет проблему массовый переход на удаленную работу, из-за чего периметр сети компаний по сути распространился на дома сотрудников и их личные устройства. Хотя этот шаг в целом соответствует духу прогресса, из-за стихийного характера он умножил слабые места в цифровой обороне предприятий.

Вирусы-вымогатели шифруют данные на компьютере пользователя и требуют выкуп за возможность восстановить доступ к ним. Обычно предлагается заплатить выкуп криптовалютой. Проникнув в корпоративную сеть, вирусы-вымогатели способны блокировать сразу большое количество компьютеров.

Согласно отчету Verizon, в прошлом году на вымогателей приходилось 27% инцидентов, связанных с вредоносным ПО. По данным исследования Global Threat Landscape Report компании Fortinet, в наибольшей степени подвержены атакам с целью вымогательства телекоммуникационные компании, интернет-провайдеры, образовательные учреждения, правительственные и технологические организации.

И если раньше кибервымогатели действовали по принципу spray and pray («распыляй и молись», то есть стремились заразить как можно больше любых жертв), то в последние годы они перешли к более целенаправленным атакам, сосредотачиваясь на конкретных отраслях с их характерными уязвимостями. Таков был, например, вирус WannaCry, поразивший в 2017 году более 100 тысяч компаний не менее чем в 150 странах.

Более свежий пример – вымогатель EKANS, созданный для атак на промышленные сети и системы управления. В начале 2020 года, по данным Министерства внутренней безопасности США, из-за атаки EKANS работа неназванного оператора газопровода оказалась парализована на два дня.

Традиционные программы-антивирусы эффективны лишь против уже известных вирусов-вымогателей. В основе работы антивируса – картотека сигнатур («подписей»), по которым он определяет врага. Поэтому он может выявлять только «рецидивистов». Более современные средства защиты используют элементы искусственного интеллекта и распознают вирусы-вымогатели не по сигнатурам, а по особенностям поведения.

Но для полноценной защиты от вымогателей требуется не только современное программное обеспечение, но и системная профилактика, включающая оценку рисков, установку межсетевых экранов, создание резервных копий, разработку сценариев реагирования и другие меры.

Целевая атака или APT (advanced persistent threat – «развитая устойчивая угроза») – это высший пилотаж киберпреступности, спланированная операция, обычно из нескольких этапов, примерно как в шпионском кино.

Сначала злоумышленники ищут способ внедриться в корпоративную сеть: собирают информацию, ищут уязвимости компании (не только цифровые, но и физические), изучают расписание, маршруты, слабости интересующих сотрудников и так далее.

Затем осуществляется собственно проникновение: злоумышленники могут прислать таргетированное на конкретного сотрудника фишинговое письмо, украсть телефон сотрудника для извлечения каких-либо корпоративных паролей, втереться в доверие компании под видом подрядчика или проникнуть в офис в качестве курьера – вариантов множество. Целью на этом этапе является скрытая установка ПО на корпоративной технике.

Когда плацдарм готов, злоумышленники, действуя уже изнутри компании, подбираются к интересующей их информации и похищают ее в обход средств защиты. Затем, как правило, следует «уборка»: злоумышленники заметают следы, чтобы атака не была обнаружена. В целевой атаке могут использоваться любые другие киберпреступные методы – фишинг, вымогательство и так далее.

Целевые кибератаки сложны и дорогостоящи, поэтому ассоциируются с деятельностью государственных разведок или с крупным бизнесом. Но их целью может стать и, например, стартап с какой-то перспективной технологией. То есть никто не застрахован.

Как пример актуальной APT-угрозы компания Fortinet приводит киберпреступную группировку HIDDEN COBRA (название дано американской разведкой), существующую с 2014 года. ФБР предполагает, что она связана с правительством Северной Кореи, которое в условиях санкций не брезгует любыми способами для зарабатывания денег. Группировка стояла за уже упомянутым вирусом-вымогателем WannaCry и представляет угрозу по сей день.

Предотвращение целевых атак – сложная задача. Однако современные средства защиты при их правильном и комплексном использовании позволяют понять, что в компании происходит какая-то неавторизованная активность. Например, Network Access Control позволяет исключить внедрение в сеть постороннего устройства. Каждый пользователь должен сначала пройти идентификацию, то есть доказать системе, что это он, а затем авторизацию, то есть получить строго определенные права в системе.

Для предотвращения целевых атак требуется строгое и четкое распределение прав доступа внутри компании и соблюдение принципа минимальной достаточности: то есть выполняются лишь те действия, которые нужны для бизнес-процессов.

DDoS-атака – это атака на какую-либо вычислительную систему (например, сервер) с целью исчерпать ее аппаратный ресурс путем огромного количества одновременных обращений к ней. Когда система не справляется с обработкой этих обращений, происходит отказ в обслуживании (Denial of Service) и система выходит из строя. Первая буква D в DDoS описывает характер атаки – она распределенная (Distributed), то есть совершается одновременно с большого количества устройств, которые предварительно были заражены злоумышленниками и превращены в послушную армию (ботнет, сеть ботов). Как правило, сначала киберпреступники создают ботнет, а потом через даркнет ищут заказы на его использование.

DDoS-атаки представляют опасность в первую очередь для компаний, деятельность которых напрямую связана с интернетом (вся электронная коммерция), а также для операторов связи. DDoS-атаки длятся недолго, поскольку это довольно дорогое удовольствие. Редко больше недели, но может быть достаточно и пары часов. Скажем, кто-то хочет убрать конкурентов с тендера, начало и продолжительность которого известны: достаточно обрушить сайт конкурента на время тендера – и цель достигнута.

В последнее время злоумышленники охотно «рекрутируют» в свои ботнеты устройства интернета вещей (IoT), то есть, к примеру, бытовые приборы с подключением к интернету: принтеры, умные колонки, кондиционеры, системы освещения в умном доме и так далее. Производители IoT-устройств, как и пользователи этих устройств, зачастую уделяют мало внимания их безопасности, поэтому заразить IoT-устройство относительно просто.

Среди ботнетов 2020 года можно выделить специализированный на IoT-устройствах Dark Nexus, который атакует роутеры Dasan Zhone, DLink и ASUS, а также видеорекордеры, тепловые камеры и другие устройства. По мнению специалистов, Dark Nexus имеет особенности, дающие ему преимущество перед другими ботнетами. Например, при попадании на устройство он анализирует запущенные на нем процессы и прерывает те из них, которые оценивает как опасные для себя.

Для борьбы с DDoS-атаками применяют DDoS-фильтры, позволяющие избирательно отсекать «мусорные» обращения к серверу, идущие от ботов. Профилактика DDoS-атак включает обеспечение резервных мощностей, а также разумную минимизацию контактов системы с другими устройствами: доступ к системе должен быть закрыт для портов, протоколов и приложений, взаимодействие с которыми не предусмотрено.

Название этого типа угроз, образованное от английского слова fishing – «рыбалка», – вполне точно его описывает. Подобно рыбаку, злоумышленник готовит приманку и «крючок», только охотится он на людей, а сам процесс разворачивается в цифровом пространстве. Чаще всего приманкой является электронное письмо, способное заинтересовать получателя, а крючком – заложенный в это письмо вредоносный исполняемый файл или гиперссылка на него.

Сейчас, когда всех волнует тема Covid-19, это может быть ссылка якобы на свежую статистику по данной теме или какую-то иную животрепещущую информацию, которая интересна многим пользователям. При открытии ссылки запускается вредоносный файл. По данным исследования Global Threat Landscape Report компании Fortinet, больше всего от атак, связанных с тематикой пандемии, в этом году страдают организации США, Китая и России.

Актуальный пример – троян Dridex, который прячется в таблицах Microsoft Excel. Фишинговое письмо, которое получает пользователь, выглядит в точности как письмо от службы доставки (UPS, FedEx, DHL). В условиях пандемии спрос на услуги доставки существенно вырос, поэтому вероятность, что пользователь ожидает доставку и откроет вложение, весьма велика. На это и расчет.

Опасность фишинга в том, что главный элемент в нем не технический, а психологический. Злоумышленники знают, что человека обмануть легче, чем машину. Современные средства защиты позволяют в автоматическом режиме во всех файлах, которые передаются по почте или через интернет, вырезать исполняемое содержание, оставляя только текст и изображения. Также они могут анализировать ссылки в процессе открытия и прерывать этот процесс, если фиксируют запуск исполняемых файлов.

Обнаружение внутренних или инсайдерских атак – одна из наиболее сложных задач, потому что регламенты информационной безопасности обычно построены исходя из защиты от внешних угроз. А инсайдер – это сотрудник компании, по умолчанию ему доверяют, он имеет доступ к ресурсам организации, может свободно перемещаться и обмениваться информацией. То есть речь идёт уже не об IT-безопасности, а о физической безопасности.

IT-безопасность построена на автоматизированном обнаружении угроз, что в данном случае может не сработать. Здесь требуется взаимодействие IT-подразделения со службой безопасности компании и регламентация физического доступа сотрудников к тем или иным помещениям в то или иное время. Но все равно это не гарантирует, что угроза будет своевременно обнаружена.

Инсайдерские угрозы могут быть связаны как со злым умыслом, так и со случайными действиями, с человеческой ошибкой. С ненамеренными действиями бороться проще – здесь нужны проработка регламентов, разграничение прав, отлаженность систем идентификации и авторизации. И опять же – принцип минимальной достаточности: сотруднику нужно давать только те права, которые ему нужны для выполнения рабочих обязанностей. С инсайдерами-злоумышленниками бороться гораздо сложнее. Очищать память сотрудников на выходе из компании невозможно (тем более, что сегодня многие сотрудники сидят по домам).

Против инсайдерских атак, помимо регламентов и прав доступа, помогут средства, которые анализируют поведение пользователей – User Experience Behavioral Analytics. Эти решения, построенные на технологиях искусственного интеллекта и способные к обучению на основе статистики, постоянно мониторят активность сотрудников на рабочих местах. Если те отклоняются от заранее заданных сценариев деятельности, то формируются оповещения для службы безопасности, которая может заблокировать то или иное действие.