Десять IT-угроз для бизнеса и как от них защититься

Суммы, выплаченные жертвами атак, увеличились за 2020 год более чем на 300%. Как и человеческий вирус, компьютерный тоже мутирует. Но речь уже не только о зловредном коде.

Теперь у хакеров есть международная иерархия, стратегический подход к нападениям и даже собственные биржи, на которых заказывают атаку на конкурента, покупают или арендуют инструменты для взлома и даже нанимают команды квалифицированных хакеров для атаки. 

Изменился и состав требований злоумышленников. Как правило, вымогают деньги, но это конечная цель. Пути воздействия дополнились шантажом, причем не обязательно прямым. Например, хакерская группировка может действовать через клиентов жертвы. Наиболее уязвимы отделы продаж, потому что они располагают одновременно финансовой информацией и контактами клиентов.

Почему это важно и касается предпринимателей

Немного тревожной статистики:

• По данным Check Point Research (CPR), за первые четыре месяца 2021 года с вирусами-вымогателями столкнулось на 102% больше компаний, чем в первом полугодии 2020 года.
• Количество кибератак в мире на финансовые компании выросло в 400 раз, с менее 5000 за неделю в феврале 2020 года до более 200 000 за неделю в конце апреля 2021 года.
• По данным Hiscox Ltd, в 2020 году от кибератак пострадало на 38% больше компаний, чем годом раньше, причем суммы ущерба возросли до миллионов, иногда десятков миллионов долларов.

Может показаться, что хакеры атакуют только крупные корпорации. Но это не так, малый бизнес тоже сталкивается с онлайн-вымогательством.

Почти половина информационных атак нацелена на небольшие компании. Случаев много, потому что мелкий бизнес не может позволить себе сильные отделы безопасности. Медийная мощность тоже ниже, информация о «мелких» кражах редко облетает СМИ и соцсети.

Поэтому не стоит ожидать, что вы в безопасности, если оборот вашей компании невелик.

Как защититься от кибератак

Одна из важных причин готовиться к нападениям заранее — возможность быстро реагировать на информацию о новых «дырах в софте». Когда публикуют такие сведения, счет идет на часы. Теперь все хакеры мира пробуют использовать новую уязвимость, и риск подвергнуться атаке возрастает многократно. Это могут сделать даже из любопытства, просто потому что опубликовали новый способ.

Для таких случаев нужен заранее подготовленный план действий, а также все необходимые программные, иногда даже аппаратные средства защиты. И, разумеется, компетентные специалисты, которые могут противодействовать хакерам — то есть очень квалифицированным программистам, у которых к тому же почти неограниченные технические ресурсы (например, за счет ботнетов).

Несколько примеров мер по защите информационной системы компании от угрозы хакерских атак:

• Антивирусные программы, их непрерывное обновление.
• Частые резервные копии ценной информации (включая облачные серверы, которые тоже могут быть атакованы, и тогда вы потеряете свои базы данных).
• Защищенные каналы общения, начиная с осознания их необходимости, потом методичная отладка контроля и методов защиты.
• Административные меры, обучение сотрудников цифровой гигиене. Например, ни в коем случае нельзя открывать файлы, полученные из неизвестных источников или переходить по ссылкам из спама.
• Контроль времени и локаций доступов, конкретных устройств, браузеров. Другие методы распознавания «Свой/Чужой», помимо ввода паролей. 
• Двух- и более факторная аутентификация на всех важных ресурсах. Частая смена паролей, и немедленная — для всех уволенных сотрудников.
• Аккуратный подход к внешним IT-решениям, например к бесплатным VPN, почтовым сервисам, мессенджерам, соцсетям и даже к браузерам. 
• Обновления ПО, мониторинг новостей про новые уязвимости и немедленная реакция на такие новости.
• Должен неукоснительно действовать протокол немедленного и полного прекращения всякого доступа сотрудников после увольнения или смены уровня полномочий. В западных компаниях часто забирают симку в течение минуты после принятия решения, а все пароли, аккаунты и доступы удаляются еще до разговора.

Отдельное внимание стоит уделить политике безопасности по установке и использованию «чужого» программного обеспечения. Здесь приходится применять кавычки, потому что даже IT-гиганты используют готовые утилиты, «коробочные» решения, а также доступ к облачным сервисам.

Это может создавать уязвимости, причем контролировать процесс сложно — код регулярно обновляется сторонними разработчиками, причем не всегда есть возможность проверить, что и как они изменили.

Обращаясь к подрядчикам в IT-сфере, компании приходится предоставлять пароли, доступы, права администратора в своей информационной системе, а зачастую и к аккаунтам облачных решений. Даже без злого умысла недостаточно компетентные партнеры могут создать «дыру» в безопасности.

Кроме того, если не компания-подрядчик, то отдельные ее сотрудники могут иметь свои планы.

Поэтому нужно не только соблюдать меры кибербезопасности, но и тщательно выбирать партнеров, которые помогают в ее обеспечении. Например:

• Убедитесь в том, что юридическое лицо «чистое» и не имеет судебных дел и исков.
• Почитайте подтвержденные отзывы о подрядчике, запросите референсы.
• Проверьте сколько лет компания работает. По крайней мере несколько лет опыта важно как с точки зрения набора необходимых компетенций, так и чтобы отсечь фирмы-однодневки, мимикрирующие под серьезный бизнес из криминальных соображений.
• Проверьте наличие сертификатов, допусков, лицензий. У официальных представителей IT-вендоров не возникает затруднений с доказательствами своей легитимности.
• Оцените уровень коммуникаций. Скорость, точность и полезность ответов. Есть ли ощущение, что вы общаетесь с профессионалами, которые понимают что и когда уместно спрашивать, ведут себя уверенно и адекватно.
• Составьте дорожную карту, обсудите пилотный проект, этапы и точки контроля. Причем квалифицированный подрядчик сам предложит полный пакет документов.
• Отдельно спросите, получится ли сохранить все уже используемые информационные системы, как будет выглядеть интеграция с ними, какие меры безопасности планируется предпринять.

Контролируйте своих сотрудников, ПО, каналы связи, протоколы безопасности. Защита может быть только комплексной, иначе в ней почти нет смысла. Злоумышленники владеют полной информацией по уязвимостям. Бизнесу нужна профессиональная служба для противодействия атакам. 

Постоянно появляются новые экзотические виды атак. Например, атаки на дронов, IoT, нейросети. Но это все еще довольно редкие события, а главное — они не касаются обычных компаний. Есть много менее зрелищных, зато более вероятных и опасных видов нападений. Перечислим основные из них вместе с дополнительными мерами защиты.

Десять IT-угроз для бизнеса

Вредоносное ПО

В большей степени это и есть компьютерные вирусы. В информационную систему предприятия проникает зловредная программа, которая специально разработана для причинения ущерба.

Например, такого как промышленный шпионаж; кража баз данных, как правило клиентских; хантинг ведущих сотрудников; шифрование или удаление данных, иногда их подмена; рассылка сообщений от имени владельца системы; использование технических ресурсов для майнинга криптовалюты; блокировка программного обеспечения, чтобы компания не могла работать и другие. 

Методы защиты:

• Самое эффективное — полностью запретить пользователям самостоятельно устанавливать программы и менять конфигурацию рабочих станций. Пусть этим занимается собственные администратор компании или специализированный подрядчик. 
• Есть смысл также ограничить доступ к сетевым ресурсам, в том числе соцсетям, мессенджерам. 

Программы-вымогатели

Особый вид зловредов, которые специализируются на прямом требовании денег — сейчас, как правило, в криптовалюте, чтобы сложнее было отследить получателя.

Атаки программами-вымогателями WannaCry, Petya, Cerber, Cryptolocker, Locky становились настоящими пандемиями. Многие готовы заплатить выкуп, потому что вынужденный простой обойдется в 23 раза дороже (при среднем выкупе около $6 тысяч). 

Методы защиты:

• Пользователи должны понимать, что любое нестандартное поведение программ — повод немедленно обратиться к администратору. Никаких самостоятельных действий предпринимать не нужно.
• Как правило, программы-вымогатели угрожают либо испортить данные, либо опубликовать их. Первая проблема решается с помощью регулярных резервных копий, вторая — хранением настолько чувствительных данных отдельно, на компьютерах без доступа к интернету. 

Фишинг

Один из самых распространенных способов, которым вредоносной ПО проникает и активируется на компьютерах жертв. Как правило, это рассылка — по электронной почте, в мессенджерах, чатах. Поддельные сообщения искусно маскируются под обращения клиентов, коллег, техподдержки, друзей и других.

Методы защиты:

• Очень сложно противодействовать, потому что в реальной деловой жизни нереально с подозрением относиться ко всем входящим, в том числе от известных адресатов. Тем не менее, можно договориться о кодах в теме письма, тегах в мессенджерах. Их отсутствие привлечет внимание.
• Кроме того, нужно административно разделить запуск платежей, подписание договоров, любые важные действия. Как в сейфах, где открытие двери происходит только когда повернули два ключа, по одному у разных ответственных сотрудников. 

Социальная инженерия

Общее название методов воздействия, часто взаимосвязанного с фишингом. Например, продавцы получают выгодное долгожданное предложение о сделке, и не задумываясь открывают приложенные файлы, могут даже установить ПО якобы для доступа на тендерную площадку (как они думают, а на самом деле это вирус).

Или сотрудникам приходит «случайное» письмо из бухгалтерии, от гендира — кто удержится посмотреть. О чем говорить, если в 30% случаев фишинговые сообщения открывают даже сотрудники по информационной безопасности. 

Методы защиты:

• Принцип действия социальной инженерии заключается в том, чтобы сделать любые технические меры защиты неэффективными. Нужно противодействовать тоже не софтверно, а психологически. Проводить тренинги с сотрудниками, объяснять как распознать подвох, что делать, если все-таки посмотрели, скачали, установили.
• И обязательно проводить учения по компьютерной безопасности. То есть методом «тайного покупателя» пытаться уговорить сотрудников поделиться паролем, сказать код по SMS. Потом разбирать эти кейсы. Можно использовать их в качестве командообразующей игры. Если сценарии хорошо проработаны и есть призы — это станет популярным, а главное очень полезным развлечением. 

Взлом пароля

Старый, но по-прежнему работающий способ для проникновения в слабо защищенные информационные системы без двойной (например, по коду через SMS) авторизации, а также там где нет аппаратных токенов, мониторинга активности, геолокаций доступа. Пароли подбирают, «брутфорсят» (находят автоматическим перебором вариантов), узнают при помощи «кейлоггера» (программы-шпиона).

Методы защиты:

• Нужно использовать пароли максимально допустимой длины, потому что каждый следующий символ нелинейно удлиняет подбор. 
• Обязательно включайте в пароли буквы разного регистра, цифры, специальные символы. Например, _ # - и т.п. Это тоже затрудняет взлом пароля.
• Поможет reCAPTCHA и ограничение числа попыток ввода пароля с ошибкой. Как в банкомате — три раза не тот ПИН-код, и взлома этой карты уже можно не опасаться.

Атака изнутри

К сожалению, угроза иногда исходит от собственных сотрудников, которые могут взломать или подсмотреть пароль коллеги, чтобы получить доступ к информации. Нужно понимать, что для этого не обязательно сидеть за соседним столом, достаточно располагать входом в систему — это возможно из другого здания или даже города. 

Методы защиты:

• Внедрение систем IDM/IAM/IGA для управление доступом.
• Регулярный аудит используемых паролей, их частая замена новыми. 
• Аудит логов доступа, чтобы проверить не бывает ли подозрительных обращений к информационным ресурсам компании. 

Атака через посредника

Если злоумышленникам не удается попасть внутрь системы, они могут действовать снаружи. Например, перехватить или даже специально создать публичную бесплатную сеть Wi-Fi. В сериале «Кремниевая долина» показали такой метод, и это не выдумка для киносюжета, а вполне реальная уязвимость.

Методы защиты:

• Первым способом защиты от такой атаки является использование шифрования между клиентом и сервером.
• Можно также использовать специальные плагины для браузеров. Например, ForceTLS для установления защищенного соединения (но это возможно не всегда, зависит от оборудования).
• Самый жесткий вариант — полный отказ от использования открытых Wi-Fi-сетей для работы с личными данными.

DDoS (Denial-of-Service)

То есть атака на отказ в обслуживании. Один из способов обрушить информационную систему, включая средства ее защиты, методом избыточных запросов. Часто для увеличения нагрузки задействуют тысячи, иногда сотни тысяч компьютеров, зараженных вирусами. Они объединяются в ботнеты и управляются хакерами снаружи.

Методы защиты:

• Есть целый ряд специализированных систем для защиты, коробочных и облачных. Например, Cloudflare, AKAMAI, Anti-DDoS Pro от Alibaba и многие другие.
• В случае частых и серьезных атак может потребоваться переработка публичных сервисов, чтобы «облегчить» их и позаботиться о сохранении критичной работоспособности даже под массированным ударом. 

Внедрение SQL-кода

Относительно простой способ взлома, основанный на ошибках настройки web-сервера и сайта, а точнее, его базы данных. Иногда для того, чтобы получить доступ к информационной системе компании, достаточно ввести вредоносный код в поле поиска на сайте.

Методы защиты:

• Применяйте встроенные функции для очистки кода от вредоносных скриптов.
• Полезна также проверка форм на стороне сервера. 
• Нужно проверить, что запрещено исполнение файлов, загружаемых пользователями сайтов и других ресурсов. 

Устаревшие или незрелые системы управления доступом (IDM/IAM/IGA)

Низкая зрелость процесса управления доступом внутри организации в совокупности с отсутствующей или устаревшей системой IDM/IAM/IGA дает возможность любому пользователю, находящемуся внутри контура, получать практически любые данные и права доступа к информационным системам.

Методы защиты:

• Последнее время практически все финансовые организации усиливают данный процесс и системы. 
• Необходимы системные регулярные меры. Впрочем, это касается противодействия всем видам кибератак.

Главный вывод, который должны сделать собственники бизнеса — опасно исходить из тезиса «кому мы нужны, зачем нас взламывать». 

Не все хакеры охотятся за миллионами, многих устроит значительно более скромная добыча. Конкуренты могут вести дела нечисто. Есть большое количество начинающих вредителей, которые пытаются проникать во все компьютерные системы без разбора, просто в качестве тренировки.

Наконец, ваши компьютерные ресурсы могут стать частью каких-то ботнетов. Например, майнить криптовалюту для криминальных ботоводов или рассылать спам, возможно, противозаконный. 

Уделите кибербезопасности самое пристальное внимание. В информационный век это может оказаться даже более важным, чем физическая охрана офиса.