Пост от команды подкаста «Завтра облачно»: об IT на пальцах. Герои нашего последнего выпуска — Алексей Маланов («Лаборатория Касперского») и Илья Летунов (Mail.ru Cloud Solutions) обсудили, какие киберугрозы актуальны для B2B-сектора и на что обратить внимание, чтобы защититься от хакеров.
Публикуем самые интересные тезисы дискуссии.
1. B2B-компаниям стоит защищаться от целевых атак
В сфере B2B выделяют три типа угроз: случайные, целевые и кибероружие.
Случайные — те, что попадают в компанию случайно. Например, когда сотрудник нажимает на вредоносную ссылку или устанавливает на компьютер нелицензионную программу.
Целевые — запланированные атаки. Например, хакеры атакуют конкретный банк, чтобы украсть деньги. Они заранее знают, какая защита установлена, и как ее можно пробить. Часто хакеры действуют через поставщиков: внедряют вредонос в программное обеспечение поставщика, и только потом заражают системы нужной организации. Именно о защите от целевых атак стоит беспокоиться большинству компаний.
Кибероружие — настолько квалифицированные атаки, что возникает вопрос о причастности государств. Например, считается, что за атакой на иранский завод по обогащению урана стоят спецслужбы США и Израиля.
2. Нужно позаботиться о безопасности рабочих устройств
Как правило, B2B-компании атакуют не отдельные хакеры, а организованные команды. При этом между участниками группировки распределены обязанности. Например, один человек отвечает за преодоление защиты, второй — за распространение внутри, задача третьего — украсть деньги.
Проникший внутрь хакер может закодировать рабочие станции и серверы, и требовать выкуп у руководителей или собственников организации. Например, транспортно-логистическая компания Maersk пострадала от вируса-вымогателя ExPetr. Из-за атаки на несколько дней остановилась работа грузовых портов.
Для пробива защиты хакеры могут заразить компьютеры обычных сотрудников, отправив на почту письмо с вредоносной ссылкой. Чтобы повысить вероятность клика по ссылке, хакеры предварительно изучают профили человека в соцсетях. И пишут письмо, которое, скорее всего, заинтересует сотрудника.
Похожим образом действовали хакеры, похитившие из банков около млрд долларов при помощи компьютерного червя Carbanak. Сначала злоумышленники заразили компьютеры рядовых сотрудников и, таким образом, выяснили, как распределена ответственность внутри банка. И, наконец, смогли добраться до денег.
3. В любом программном обеспечении есть уязвимости
Существуют эксплойты — специальные программы, написанные, чтобы использовать для атаки уязвимости, которые есть в любом программном обеспечении. Если разработчик знает, где уязвимость, он может поставить какой-то патч — программу или часть программы для устранения проблем в ПО. Патч будет защищать от кибератаки в этом слабом месте.
Также есть эксплойты нулевого дня — они написаны для использования уязвимостей, о которых еще не знает разработчик. Для них нет патчей, способных устранить угрозу, нужны специальные технологии превентивной защиты от эксплойтов. Если такие технологии не используются, устройство или система будут беззащитны перед нападением. Уязвимости в программном обеспечении, неизвестные разработчикам, постоянно ищут и закрывают патчами.
4. Стратегия защиты — максимально усложнить работу хакеров
Чтобы защититься от целевых киберугроз, важно сделать взлом максимально затратным для хакеров. Например, использовать несколько слоев защиты: облачную, поведенческую и машинное обучение. В такой ситуации хакеры понимают: на пробив потребуется много времени и ресурсов, и не факт, что получится заработать.
Еще для защиты на всех узлах устанавливают специальные агенты. В полученной от них информации ищет аномалии центральный сервер. Он сопоставляет, насколько поведение внутри сети типично для конкретной компании. И на основании этого решает: все в порядке или происходят что-то неестественное.
Например, ночью компьютер директора соединяется с сервером из Аргентины. Сервер считает такое поведение нетипичным: обычно компьютер соединяется только с серверами из России, и это всегда происходит днем.
Распознав подозрительную активность, система оповещает специалиста службы безопасности или просто блокирует устройство. Все зависит от того, какой ущерб может причинить компании возможная атака.
5. После атаки нужно найти источник угрозы
После кибератаки специалисты сперва проводят физический анализ, а затем разбирают программное обеспечение до строчки кода. Иногда требуется выяснить — это действительно вредонос или просто произошел сбой в программе.
Например, на иранском заводе предположительно атаковали обогащающую уран центрифугу. Причем на предприятии не было доступа в интернет — флешку с вредоносом пронес сотрудник.
События развивались так: центрифуги вращались с неправильной скоростью, и сотрудники заподозрили поломку. Когда стали разбираться, то выяснили: система контроля за центрифугами заражена. В итоге поняли: сотрудник заразил управляющий контроллером компьютер, и уже оттуда червь попал в сам контроллер.
О происхождении атаки свидетельствуют косвенные признаки. Упрощенный пример: вы поймали радиостанцию, трансляция идет на французском языке. Ведущий — француз, и он желает слушателям доброго вечера в то время, когда во Франции действительно вечер.
Перечисленные факты указывают на то, что станция правда расположена во Франции. В реальности вещание могут вести хоть из Китая, хотя из Австралии — косвенные факты реально подделать.
Другой пример: в Южной Корее во время Олимпийских игр хакеры вывели из строя сайт олимпиады, отключили Wi-Fi на стадионе и мешали вести трансляцию в режиме реального времени.
Вшитые внутрь вируса фичи свидетельствовали о том, что за атакой стоит Северная Корея. Но после разбирательства специалисты поняли: фичи ложные, а атаку организовала другая страна.
Из-за возможности подобной подделки анализируют не только саму атаку, но и проводят атрибуцию по жертвам — оценивают, кому может быть выгодно нападение. Еще учитывают инструментарий: какие библиотеки и уязвимости использовали хакеры. Они тоже могут указывать на источник атаки.
Еще статьи по теме:
Послушать целиком подкаст про киберугрозы можно тут: ВКонтакте, iTunes, Google Podcasts, SoundCloud.
Як людям забрати гроші які є на балансі
На балансі якого сервісу?
Целевые атаки IDS / IPS направленны на похищение личных данных, о клиентах например, очень актуально для больниц и фирм, работающих с личными данными и финансами клиентов. У нас в страховании периодически были попытки атак. Установили интернет-шлюз безопасности AquaInspector. Кому нужно или интересно посмотреть что это и как работает https://www.smart-soft.ru/state-solutions/