Концепция защиты сетевого периметра, как основополагающее правило информационной безопасности, больше не работает – недостаточно защититься от угроз внешней сети и поставить антивирус на рабочих станциях – сетевой периметр размылся. Цифровая трансформация бизнеса требует актуальные ответы на угрозы кибербезопасности, и в первую очередь требуется защитить пользователя как входное звено в инфраструктуру заказчика – будь то в условиях удалённой работы, либо в географически распределенных офисах или при привлечении субподрядчиков с доступом к инфраструктуре, доступы с мобильных и личных устройств – меняется и подход к безопасности в целом.
Поэтому защита пользователей будет лежать в самой основе Трехзвенной архитектуры информационной безопасности – архитектурная модель информационной архитектуры, предполагающая наличие в нём трёх типов компонентов (уровней, звеньев): клиентские приложения (с которыми работают пользователи), серверов приложений (с которыми работают клиентские приложения) и сервером баз данных (с которыми работают серверы приложений).
Если верить статистике МВД и аналитических центров, то количество атак растёт год от года, только за 4 квартал 2021 года было официально зарегистрировано 622 кибератаки по инфраструктуре.
Рисунок 1. Количество атак в 2020 и 2021 годах.
Источник: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/
Не так давно проходило, наверное, самая масштабная и беспрецедентная атака — отключение IT-инфраструктуры города Палермо из-за действий кибер-преступной организации Vice Society. Атака состоялась не так давно и вызвала сбой всех цифровых систем и сервисов, затронув более 1,3 миллиона жителей, не считая туристов и гостей города.
Среди актуальных атак – это атаки на государственные сервис Литвы, после ограничения перемещения российских поездов по территории страны, или атаки на государственные сервисы Тайваня после внутреннего конфликта между Китаем и Тайванем.
Если же не заглядывать так далеко, а посмотреть по России, то только за май вслед за Яндексом были атакованы СДЭК, ВТБ, Delivery Club, Wildberries, Avito, «Билайна».
Кроме того, в начале мая в сеть утекли данные клиентов лаборатории «Гемотест». Речь идёт о 31 миллионе записей, включающих в себя имя и фамилию, дату рождения, физический и электронный адрес, телефон, а также серию и номер паспорта. Это жители разных регионов России, включая Москву и Московскую область.
Одной из самых громких событий в плане взлома инфраструктуры явилось сообщение о взломе UBER. Как сообщается 17-летний злоумышленник путём социальной инженерии и фишинговых писем получил доступ к крупнейшему агрегатору такси во всём мире.
Если брать статистику Роскомнадзора, то с начала 2022 года в России произошло порядка 60 крупных утечек персональных данных россиян, в ходе которых в открытый доступ попало 230 млн записей с личной информацией.
Тройка лидеров по кибератакам за прошлый год включала в себя государственные учреждения, медицинские учреждения и промышленные компании.
Источник: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2021/
Способы распространения ВПО в атаках на организации.
Кибератаки тяжело оцениваются в численных показателях, если это не явная кража с банковского счёта компании, либо злонамеренный вывод оборудования из строя.
Кроме прямых краж средств со счетов существуют и другие угрозы, и потери, актуальные для предприятий промышленного сектора:
· атака на технологические сети, с целью остановки производства. Простой производственной линии несёт ущерб для любой компании.
· данная атака несёт не только прямой ущерб ввиду снижения количества продукции, но и репутационный ущерб в связи с нарушением логистических сроков и нарушения цепочки поставок.
· кража конфиденциальной информацией как путём внедрения так называемых троянов, так и путём получения инсайдерской информации.
· использование так называемых «шифровальщиков» может остановить как производственную линию, так и зашифровать критичную информацию – бухгалтерия, ERP, CRM, которые потом с трудом и долго придётся восстанавливать в ручном режиме.
Все вышеуказанные вектора атак актуальны так же и для Вашего предприятия. Компания имеет классические объекты атак:
· это периметр информационной инфраструктуры, который подвержен классическому хаккингу или атак класса «отказ в обслуживание»;
· это конечные пользователи, которые подвержены атакам класса «социальная инженерия», построенная на недостаточном знании сотрудников основ информационной безопасности;
· это кража конфиденциальной информации либо разглашение её по неосторожности;
· это атаки класса Ransomware – программа-вымогатель или шифровальщик;
· это атаки на сайт с целью размещения какой-либо компрометирующей информацией в нынешних военно-политических условиях;
· это атаки «business email compromise» — компрометация вашей почтовой переписки с бизнес-партнёрами с выставлением потом «фальшивых» платёжных документов;
· это, наконец, злонамеренные атаки по критической информационной инфраструктуре с целью остановки и блокировки производственных мощностей, что влечёт за собой простой всего предприятия.
Это только часть атак, которые лежат на поверхности, но которые способны принести как финансовый, так и репутационный ущерб.
🔥 Как и говорилось выше, основным вектором атак в любой из возможных является атака на конечного пользователя. Классический хаккинг с проникновением через внешнюю сеть слишком трудоёмок и легко может быть выявлен жертвой атаки, поэтому 85% атак идут через рядовых пользователей, которые по незнанию потом сами открывают прямые доступы киберпреступникам во внутреннюю инфраструктуру заказчика.
Актуальным решением по защите от такого типа атак является так называемые повышение осведомлённости персонала, который, например, входит в обязательные требования ЦБ и ФСТЭК, или так называемые Security Awareness.
Security Awareness включает в себя ряд мероприятий:
во-первых, это контролируемые фишинговые рассылки, которые позволяют получить статистику по реакции персонала на вредоносные рассылки. В дальнейшем это позволяет выстроить стратегию обучения персонала по безопасному поведению в сети Интернет в общем, и работе с электронной почты в частности;
во-вторых, это позволяет выстраивать общие обучающие курсы кибербезопасности, с проведением тестирования персонала и оценки благонадёжности при работе с конфиденциальной информации.
Защита и обучение персонала позволят нам выстроить надёжный базис для построения эшелонированной системы кибербезопасности и внедрения системы менеджмента информационной безопасности.
Только малая часть для оценки эффективности:
· Снижение количества событии ИБ на 70% уже в первый месяц использования систем;
· Снижение количества повторных инцидентов;
· Повышение уровня осведомленности сотрудников;
· Автоматизированный процесс обучения;
· Точечное обучение сотрудников по необходимым темам.
Итого, эффективная работа с персоналом, обучение по ключевым вопросам и использование систем тестирования позволит вам избежать атак по ключевым целям без вложения в сложные системы кибербезопасности, требующие сложной интеграции и высоких сумм на закупку лицензий.
Автор статьи: Роберт Низамеев
Да, в Казани недавно целый завод встал после такой атаки! ⚠️
Мы фиксируем множество атак по совершенно разным направлениям.
Чаще всего все проблемы из-за доверчивости персонала. Кликают на все что попало и даже не предполагают, какие последствия ждут их компанию.