5 фактов о киберугрозах в b2b — что надо знать компаниям для защиты от хакеров

Пост от команды подкаста «Завтра облачно»: об IT на пальцах. Герои нашего последнего выпуска — Алексей Маланов («Лаборатория Касперского») и Илья Летунов (Mail.ru Cloud Solutions) обсудили, какие киберугрозы актуальны для B2B-сектора и на что обратить внимание, чтобы защититься от хакеров.

Публикуем самые интересные тезисы дискуссии.

В сфере B2B выделяют три типа угроз: случайные, целевые и кибероружие.

Случайные — те, что попадают в компанию случайно. Например, когда сотрудник нажимает на вредоносную ссылку или устанавливает на компьютер нелицензионную программу.

Целевые — запланированные атаки. Например, хакеры атакуют конкретный банк, чтобы украсть деньги. Они заранее знают, какая защита установлена, и как ее можно пробить. Часто хакеры действуют через поставщиков: внедряют вредонос в программное обеспечение поставщика, и только потом заражают системы нужной организации. Именно о защите от целевых атак стоит беспокоиться большинству компаний.

Кибероружие — настолько квалифицированные атаки, что возникает вопрос о причастности государств. Например, считается, что за атакой на иранский завод по обогащению урана стоят спецслужбы США и Израиля.

Как правило, B2B-компании атакуют не отдельные хакеры, а организованные команды. При этом между участниками группировки распределены обязанности. Например, один человек отвечает за преодоление защиты, второй — за распространение внутри, задача третьего — украсть деньги.

Проникший внутрь хакер может закодировать рабочие станции и серверы, и требовать выкуп у руководителей или собственников организации. Например, транспортно-логистическая компания Maersk пострадала от вируса-вымогателя ExPetr. Из-за атаки на несколько дней остановилась работа грузовых портов.

Для пробива защиты хакеры могут заразить компьютеры обычных сотрудников, отправив на почту письмо с вредоносной ссылкой. Чтобы повысить вероятность клика по ссылке, хакеры предварительно изучают профили человека в соцсетях. И пишут письмо, которое, скорее всего, заинтересует сотрудника.

Существуют эксплойты — специальные программы, написанные, чтобы использовать для атаки уязвимости, которые есть в любом программном обеспечении. Если разработчик знает, где уязвимость, он может поставить какой-то патч — программу или часть программы для устранения проблем в ПО. Патч будет защищать от кибератаки в этом слабом месте.

Также есть эксплойты нулевого дня — они написаны для использования уязвимостей, о которых еще не знает разработчик. Для них нет патчей, способных устранить угрозу, нужны специальные технологии превентивной защиты от эксплойтов. Если такие технологии не используются, устройство или система будут беззащитны перед нападением. Уязвимости в программном обеспечении, неизвестные разработчикам, постоянно ищут и закрывают патчами.

Чтобы защититься от целевых киберугроз, важно сделать взлом максимально затратным для хакеров. Например, использовать несколько слоев защиты: облачную, поведенческую и машинное обучение. В такой ситуации хакеры понимают: на пробив потребуется много времени и ресурсов, и не факт, что получится заработать.

Еще для защиты на всех узлах устанавливают специальные агенты. В полученной от них информации ищет аномалии центральный сервер. Он сопоставляет, насколько поведение внутри сети типично для конкретной компании. И на основании этого решает: все в порядке или происходят что-то неестественное.

Распознав подозрительную активность, система оповещает специалиста службы безопасности или просто блокирует устройство. Все зависит от того, какой ущерб может причинить компании возможная атака.

После кибератаки специалисты сперва проводят физический анализ, а затем разбирают программное обеспечение до строчки кода. Иногда требуется выяснить — это действительно вредонос или просто произошел сбой в программе.

Например, на иранском заводе предположительно атаковали обогащающую уран центрифугу. Причем на предприятии не было доступа в интернет — флешку с вредоносом пронес сотрудник.

События развивались так: центрифуги вращались с неправильной скоростью, и сотрудники заподозрили поломку. Когда стали разбираться, то выяснили: система контроля за центрифугами заражена. В итоге поняли: сотрудник заразил управляющий контроллером компьютер, и уже оттуда червь попал в сам контроллер.

О происхождении атаки свидетельствуют косвенные признаки. Упрощенный пример: вы поймали радиостанцию, трансляция идет на французском языке. Ведущий — француз, и он желает слушателям доброго вечера в то время, когда во Франции действительно вечер.

Перечисленные факты указывают на то, что станция правда расположена во Франции. В реальности вещание могут вести хоть из Китая, хотя из Австралии — косвенные факты реально подделать.

Другой пример: в Южной Корее во время Олимпийских игр хакеры вывели из строя сайт олимпиады, отключили Wi-Fi на стадионе и мешали вести трансляцию в режиме реального времени.

Вшитые внутрь вируса фичи свидетельствовали о том, что за атакой стоит Северная Корея. Но после разбирательства специалисты поняли: фичи ложные, а атаку организовала другая страна.

Из-за возможности подобной подделки анализируют не только саму атаку, но и проводят атрибуцию по жертвам — оценивают, кому может быть выгодно нападение. Еще учитывают инструментарий: какие библиотеки и уязвимости использовали хакеры. Они тоже могут указывать на источник атаки.

Еще статьи по теме:

Послушать целиком подкаст про киберугрозы можно тут: ВКонтакте, iTunes, Google Podcasts, SoundCloud.