Обзор последних кейсов и рекомендации по защите от Василия Васина, основателя компании RedSys – интегратора IT решений для бизнеса.
Российский рынок информационной безопасности в минувшем году вырос на 10% и достиг объема в $89 млрд. Большая часть спроса формируется бизнесом – в 2021 году, по данным IDC, только корпоративные заказчики вложат в системы защиты $100 млрд. Государство также простимулирует рынок: в рамках программы "Цифровая экономика" правительство закажет у разработчиков (преимущественно отечественных) пакет решений по защите персональных данных и платежных систем на сумму 30 млрд рублей. Вероятно, деньги будут вложены и в безопасность критической информационной инфраструктуры, на которую в минувшем году, по данным НКЦКИ, было совершено больше четырех миллиардов компьютерных атак.
Кража корпоративных данных и финансов, как и другие киберугрозы – атаки на сервера, например, с целью выведения бизнес-процессов из строя – давно стали частью реальности для большинства средних и крупных компаний. Бизнес учится закрывать одни уязвимости, но тут же открываются новые. Рассмотрим, на каких видах атак сосредоточились хакеры за последний год, и как можно усилить защиту слабых звеньев в корпоративной информационной системе.
- Кража данных банковских карт у онлайн-магазинов
На первый взгляд formjacking (взлом форм) – самая главная тенденция в киберпреступности по версии Symantec – это атака на пользователей, а не на корпорации. Однако бизнес несет в результате этих действий огромные потери. Ежемесячно этому виду угроз подвергается 4800 площадок, принимающих онлайн платежи. Вредоносный код пытается пробить защиту и украсть конфиденциальную информацию о реквизитах платежных средств пользователей. Самый показательный случай – это взлом сайта British Airways, когда хакеры похитили из платежной системы данные кредитных карт 185 тысяч клиентов (включая 77 тысяч карт с СVV-кодом), с которых похитили порядка $17 миллионов. В результате перевозчику грозит огромный штраф в размере 4% от годового оборота согласно GDPR – правилам защиты данных пользователей, то есть внушительная сумма в 500 млн фунтов стерлингов.
British Airways не раскрывает детали атаки, но эксперты полагают, что наиболее вероятная версия – вредоносный код изначально был встроен в элементы сайта, которые были созданы сторонними исполнителями. Таким образом, любой онлайн-ритейлер, который прибегает к разработке на аутсорсе, находится в зоне риска. В этом отношении компаниям можно рекомендовать усиление собственного отдела разработки для выполнения максимума задач собственными силами.
- Вымогательство криптовалюты
Обвал биткойна на 90% имел множество последствий, но одно из них вопреки общему контексту имело положительный эффект для бизнеса. Количество кибератак на корпорации с использованием криптолокеров в 2018 году снизилось на 12%. Тем не менее, эта разновидность троянов остается одной из самых опасных. В конце 2018 года и начале этого в очередной раз громко заявил о себе, например, вирус Troldesh, который корпоративные пользователи заносили в системы разными путями, в частности – через скачивание файлов из фальшивых писем от различных компаний и банков.
С помощью криптолокеров хакеры получают контроль над корпоративными системами и шифруют данные, а после требуют выкуп в криптовалюте, чтобы вернуть информацию в исходный вид. Такие трояны были очень популярны и в предыдущие годы. Наибольший вред принесли широко известные WannaCry ($8 млрд) и Petya ($850 млн), которые распространились по миру и парализовали десятки корпораций, включая Mars и NIVEA, а в России – Мегафон и Роснефть.
К сожалению, сегодня даже самые качественное антивирусное ПО не способно обнаружить последние версии криптолокеров. Вышеупомянутый Troldesh, в частности, сильно эволюционировал: теперь он регулярно меняет программу-упаковщик, из-за чего ему удается обмануть фильтры корпоративных систем безопасности.
Борьба с такими угрозами лежит не только в технологической плоскости. Необходимо принимать во внимание и человеческий фактор. Единственный путь, по которому может пойти организация, чтобы минимизировать риски – это строгий регламент поведения персонала. Некоторые действия должны быть доведены до автоматизма: например, сотрудники должны уметь отличать реальные деловые письма от фальшивых (первые имеют контакты для обратной связи, включая номер телефона), не устанавливать самостоятельно какие-либо обновления, не скачивать вложения в письмах от незнакомых отправителей, не переходить по гиперссылкам в теме письма и т.д.
- Атаки на облачную инфстраструктуру
Криптолокеры и другие атаки на сервера компаний только усилили и без того популярную тенденцию – переход на облачные хранилища данных. Эксперты Gartner прогнозируют, что мировой рынок публичных облачных услуг в 2019 году вырастет на 17,5% и составит $214,3 млрд. В России 42% компаний уже используют IaaS-решения, и еще треть перейдут на них в ближайшее время.
Теоретически облачные хранилища защищают от угрозы потери данных в результате атаки криптолокеров. Однако корпоративные пользователи IaaS-решений автоматически попадают в зону иных рисков. Так, неправильная конфигурация даже одного элемента облачной инфраструктуры может повлечь за собой серьезные потери. В 2018 году, по данным Symantec, по этой причине было похищено 70 миллионов записей, имеющих отношение к бизнес-информации. Злоумышленники использовали уязвимости аппаратных чипов (включая Meltdown, Spectre, Foreshadow). Ситуации усугубляется тем, что киберпреступники активно делятся эксплойтами, с помощью которых можно взломать самые защищенные облачные сервисы.
Выходом может быть использование специальных облачных хранилищ, данные в которых защищаются двойным сквозным шифрованием. Генератор ключей при этом хранится в не облаке, а у клиента, поэтому доступ к дешифровке получить не может никто, кроме владельца данных. Чтобы украсть информацию, злоумышленникам придется взломать одновременно и облако, и сервер, на котором хранится ключ.
- Атаки на финансовый сектор
Крупнейшая в этом году кибератака в России была направлена на 80 тысяч сотрудников финансового сектора (банков и крупных платежных систем). Механика атаки, целью которой было получение доступа к счетам клиентов, основана на фишинге и социальной инженерии. Персонал компаний получал рассылку якобы от организаторов финансового форума с прикрепленной архивной папкой. Ее предлагалось скачать, заполнить анкету, а в качестве стимула адресатам обещали два пригласительных на крупнейшее в отрасли мероприятие. Это не первая подобная атака: с 2017 года банковский сектор в России регулярно испытывает прессинг группировки Silence. Во многом ее методы напоминают действия Carbanak – другого преступного клана, ущерб от которого в мире, по оценке Лаборатории Касперского, доходит до миллиарда долларов.
Говоря о мерах защиты, вновь приходится поднимать вопрос о киберграмотности персонала. В случае атаки на российские банки подозрения сотрудников могло бы вызвать несовпадение адреса электронной почты с названием форума (его даже не пытались подделать в близкий по звучанию) и многочисленные ошибки в тексте, а также присутствие в папке вместе с "анкетой" постороннего загрузочного файла. Атаку удалось обнаружить в самом начале, и вредоносное ПО не успело развернуться в системах и украсть ценную информацию о клиентских счетах.
Очевидно, что найти универсальный рецепт защиты от каждого вида угроз невозможно, нужно действовать в комплексе. Самые базовые методы – это использование лицензированного ПО и новейших корпоративных систем безопасности, регулярное их обновление, а также прицельный выбор подрядчиков по разработке и IT-продуктов. Уязвимость персонала остается одним из самых больших рисков, поэтому некоторые компании идут по пути приобретения корпоративных устройств связи и использование закрытых мессенджеров, которые сводят вероятность атак с помощью средств социальной инженерии к минимуму.