Программы-вымогатели преследуют предприятия любого размера и почти во всех отраслях. О том, как противостоять этому виду угроз в статье интернет-издания Data Center Knowledge рассказывает Таннер Джонсон (Tanner Johnson) — главный аналитик по кибербезопасности исследовательской компании Omdia.
Почему растет угроза программ-вымогателей?
Суровая реальность такова, что любой, подключенный к интернету пользователь, является потенциальной жертвой. Распространение угрозы подпитывается простотой доступа к инструментам создания программ-вымогателей, а также сочетается с ростом агентств, занимающихся обслуживанием заказчиков программ-вымогателей. Хотите верьте, хотите нет, но эти агентства даже помогают (если так можно сказать) жертвам произвести биткоины в качестве оплаты своего выкупа.
В последнее время мы наблюдаем значительную эволюцию в этой области киберпреступлений. То, что еще пять-десять лет назад было простым раздражением — стало серьезной проблемой. Если раньше самая крупная и наиболее распространенная выплата выкупа была обычно меньше 300 долларов, то теперь мы видим выкупы в десятки миллионов долларов, которые идут на счета международных преступных сообществ. И одним из главным факторов, который позволил программам-вымогателям широко распространиться послужил рост криптовалют. Стало возможным совершать платежи полностью анонимно, и эти платежи по большей части невозможно отследить. Именно это способствовало использованию преступниками программам-вымогателей.
Примеры атак
Одной из самых крупных, что приходит на ум, была атака WannaCry. Несколько лет назад, используя уязвимость блока сообщений Windows Server, программа-вымогатель распространилась в сети со скоростью лесного пожара.
Были и другие, такие как TeslaCrypt. Это еще другая уязвимость, использующая наборы эксплойтов браузера для распространения вредоносного ПО в определенных системах. Но в конце концов они выпустили главный ключ дешифрования и закрыли свои двери.
NotPetya — еще один вариант. Злоумышленники в данном случае были больше ориентированы на инфраструктуры предприятий: коммунальные услуги, нефть и газ, электрические сети и т.п. Программа была обнаружена на территории Украины и поразила большую часть Европы.
REvil — это что-то вроде группы программ-вымогателей. Они несут ответственность за нападение на трубопроводы и даже на несколько дней остановили переработку нефти на восточном побережье США.
Еще одна разновидность — SamSam, более целенаправленная кампания, используемая против организаций, обладающих критически важной, так скажем муниципальной информацией, например таких учреждений, как больницы даже школы. У этих организаций как правило нет бюджета на ИТ-безопасность и средств для быстрого реагирования на ситуацию.
Какие методы используют злоумышленники?
В настоящее время активно развивается социальная инженерия. Некоторые из наиболее крупных взломов произошли вовсе не из-за уязвимостей в программных или аппаратных средствах, которые могли предоставить кому-либо несанкционированный доступ. Многие крупные атаки происходили благодаря использованию легальных и открытых учетных данных.
Теперь, если нет многофакторной аутентификации, эти данные дают неограниченный доступ к системе и этот доступ может быть открыт в течение неопределенного периода времени, пока организация не поймет, что они столкнулись с вторжением.
Что мешает организациям вкладывать средства в защиту от программ-вымогателей?
Когда дело доходит общей стратегии, у многих организаций выявляются ограничения. Они могут делать что-то быстро, что-то дешево или что-то безопасно. И, к сожалению, последнее звено часто оказывается первым на плахе, потому что организации хотят, чтобы их запросы были реализованы вчера и с минимальными расходами. Более того, если вы не можете увидеть немедленную отдачу от инвестиций, то трудно оправдать первоначальные расходы. То есть не понимая угрозы, трудно оценить потребность в инвестициях.
Также заметим, что причина, по которой происходит большинство инцидентов в области кибербезопасности, заключается в том, что мы реакционное общество. Мы ждем, когда случится что-то плохое, а потом решаем: «пожалуй нам следует что-то сделать, чтобы это предотвратить». Но задумываемся об этом только после того, как пострадали.
Далее, многие организации считают себя мелкой рыбешкой, недостойной внимания. Но любая семейная лавка может стать мишенью для атаки программы-вымогателя, равно, как врачебные кабинеты или другие малые предприятия. У них нет ресурсов, чтобы содержать ИТ-отдел или даже отдел безопасности. Но представьте, допустим вы имеете дело с конфиденциальной информацией о пациентах, будь то госпиталь, кабинет стоматолога или пластического хирурга. Если эта информация просочится наружу, то вы получите серьезные штрафы. И вам повезет, если после вы еще продолжите работать.
Таким образом, если мыслить стратегически, есть веские причины для оценки рисков от вторжения программ-вымогателей. Но, к сожалению, большинство организаций ждут. Ждут, пока их не ударят и затем они скажут: «О! А давайте разработаем какою-нибудь схему, чтобы предотвратить это в будущем».
Что могут сделать организации для своей защиты?
Частью защиты должна стать комплексная стратегия управления жизненным циклом данных. Это одна из сильнейших контрмер: организация безопасного хранения, передачи и уничтожение данных на всех этапах жизненного цикла. Организациям необходимо создать и надежно зашифровать резервную копию “золотых образов” критически важных операционных данных. И эту копию нужно хранить в автономном режиме с тем, чтобы смягчить любое возможное воздействие извне. Таким образом, если ваши текущие данные стали зашифрованы, недоступны или заблокированы программой-вымогателем, то у вас будет доступ к данным в автономном режиме, который поможет их легко восстановить.
Вам также необходимо регулярно проверять и обновлять золотые образы важной информации, дабы убедиться, что они будут доступны на случай аварийного восстановления. Такие технические аудиты информации помимо всего прочего помогут вам обнаружить пробелы в безопасности.
Полезно также рассмотреть вопрос закупки автономного резервного оборудования, которое можно быстро использовать взамен зараженного. То есть это должно быть чистое оборудование, на которое можно легко закачать информацию золотого образа.
Это лишь некоторые из основных усилий цифровой осмотрительности, которые можно предпринять. Но у каждой организации могут быть уникальные требования к безопасности, а также собственные приоритеты и допустимые уровни риска. Важно, чтобы организация разработала индивидуальный план реагирования на кибер-инциденты, соответствующий их потребностям.
Какие выводы должен сделать бизнес?
Подготовьтесь к атакам. Необходимо иметь план реагирования на них, и лучшее время для разработки плана — не во время атаки, а до нее. Если же у вас нет руководств, протоколов, правил и положений, которым нужно следовать, если вы не знаете, где начинаются обязанности одного человека и заканчиваются другого, то это только усугубит хаос, который возникает из-за этого немедленного отсутствия доступа к своим данным.
Иначе говоря, это сложный вопрос, к которому уже больше нельзя относиться легкомысленно.
Видео по данной теме от Таннера Джонсона
Дополнительные пруфы
Мы, как дата-центр, можем подтвердить слова Таннера Джонсона и приведем пример из нашей практики: одна стоматологическая клиника, говоря жаргонно “словила шифровальщика”, но не имея бэкапов не смогла восстановить данные сервера. Удар был настолько сильным, что компания вынуждена была закрыться.
Мы, безусловно, советуем всем клиентам делать бэкапы и применять другие политики безопасности, но насильно заставить что-либо делать не имеем права. А такими политиками, могут, а точнее должны стать:
- Покупка лицензионного ПО;
- Регулярное обновления софта;
- Использование антивирусных программ (особенно для Windows);
- Заключение контрактов на техподдержку;
- Обучение персонала вопросам информационной безопасности. Нужно, например, объяснять секретарям, да и не только им, что нельзя открывать ссылки от неизвестных людей, которые ведут на неизвестные ресурсы, равно как сомнительные вложения, тем более с exe’шниками. Нужно проводить тренинги и знакомить людей с профильными статьями. Ну, а ИТ-сотрудникам взять за правило — посещать специализированные ресурсы, на которых публикуются материалы о свежих уязвимостях.
Надеемся, что мы были полезны для вас и желаем, чтобы ваши байты не были биты.
Материал подготовлен дата-центром ITSOFT