Уровень кибербезопасности в России и мире
К сожалению, уровень информационной безопасности кардинально отличается от компании к компании как в России, так и в мире. Не так много организаций планируют наперед защиту своих ресурсов от кибератак. По данным
исследования Positive Technologies, 80% российских организаций занимаются не комплексным, а выборочным укреплением ИТ-инфраструктуры. Среди причин 55% опрошенных назвали нехватку времени на выполнение этих задач, 46% — недостаточное финансирование, а 37% — недостаток компетенций. Кроме того, существует дефицит специалистов по информационной безопасности. Согласно
опросу ГК InfoWatch, в 2023 году 52% респондентов столкнулись с нехваткой кадров в командах ИБ.
Тем временем количество успешных кибератак на организации по всему миру растет. По данным Positive Technologies, с 2019 по 2023 год этот показатель увеличился более чем на 134%. Средний ущерб организаций от кибератак с июля 2022 года по июнь 2023 года составил не менее 20 млн рублей. Это на треть больше, чем за прошлый аналогичный период.
Лаборатория цифровой криминалистики компании F.A.С.С.T.
сообщила, что количество кибератак программ-вымогателей в России по итогам 2023 года выросло на 160% по сравнению с 2022 годом. Средняя сумма выкупа за расшифровку достигла 53 млн руб. Жертвами чаще всего становились ретейлеры, производственные, строительные, туристические и страховые компании.
Что такое вирус-шифровальщик и чем он опасен?
Вирусы-шифровальщики — их еще называют вымогатели — относятся к тому типу вредоносных программ, которые по сети проникают на пользовательские или рабочие устройства, например, ПК и серверную инфраструктуру, и зашифровывают на них содержимое — файлы, документы, базы данных, саму операционную систему. В результате доступ к информации оказывается заблокирован, а за расшифровку данных киберпреступники требуют выкуп.
Шифровальщики опасны тем, что они наносят вред внутри периметра ИТ-инфраструктуры, поэтому такие кибератаки критичнее, чем, например, DDoS. Приведем сравнение. Если в результате DDoS-атаки вы, образно выражаясь, не можете попасть в свой автомобиль, но внутри он полностью цел, то в результате нападения шифровальщика вы можете сесть в свою машину, но пользоваться ей не получится: руль квадратный, сидений нет, а замок зажигания залит клеем. Придется пойти пешком. Причем рядом стоят некие люди и говорят, что готовы быстро всё поправить за определённую сумму.
В апреле 2023 года хакерская группировка BlackCat
атаковала компанию NCR, которая занимается производством и обслуживанием банкоматов и платежных терминалов. Это привело к масштабному сбою в работе дата-центров, которые отвечали за платформу Aloha POS — сервис для обработки платежей, приема онлайн-заказов и карт лояльности, а также управления процессом приготовления блюд в ресторанах быстрого питания. В результате многие заведения общепита были вынуждены вернуться к ручке и бумаге вместо планшетов, компьютеров и POS-терминалов.
По мнению экспертов F.A.C.C.T., программы-вымогатели в 2024 году остаются на первом месте среди главных киберугроз для российских компаний. Произошедшие во втором квартале события это подтверждают. Не так давно в результате заражения вирусом-шифровальщиком
была выведена из строя ИТ-инфраструктура логистической компании, так что прием и выдача посылок были приостановлены на три дня. Из-за кибератаки в
сети супермаркетов по всей России вышли из строя кассы самообслуживания, а также «легли» сайт и мобильное приложение.
ИТ-компания, которая специализируется на обслуживании серверов 1C, заявила о нападении вируса-шифровальщика. В конце июля ИБ-вендор
сообщил, что хакеры атаковали его инфраструктуру, в результате чего ему пришлось восстанавливать свои информационные системы.
Как происходит заражение устройств вирусом-шифровальщиком?
В 90% случаев шифровальщики попадают в ИТ-инфраструктуру через электронную почту, например, при получении рассылки с ссылками на поддельные сайты или письма с вредоносным вложением. Достаточно один раз кликнуть на вредоносную ссылку или открыть вложение, чтобы запустить автоматическую загрузку каких-либо процессов или файлов, которые навредят вашим данным. В некоторых случаях необязательно даже участие сотрудника: вредоносное ПО самостоятельно может начать свою активность автозапуском.
В 10% ситуаций источником вирусов-шифровальщиков служат зараженные флешки, которые сотрудники могут вставить в свой компьютер.
Кроме того, вредоносное ПО может «заразить» компьютер сотрудника, который посещает небезопасные и мошеннические веб-сайты.
Если продолжить сравнение, то для обнаружения DDoS-атак не нужны специализированные инструменты. DDoS-атака, как правило, и так видна: веб-ресурс работает намного медленнее, чем обычно, либо полностью недоступен. Обнаружить вирус-шифровальщик труднее, но это возможно сделать с помощью специализированных систем ИБ, в том числе антивирусного ПО. Хакеры нередко пользуются общеизвестными инструментами, и поэтому многие антивирусы уже о них знают.
Последствия атаки шифровальщиков — это полная или частичная остановка работы сотрудников, невозможность предоставлять клиентам онлайн-услуги через сайт и мобильное приложение, потеря прибыли из-за простоя бизнеса и ущерб репутации.
Облачные сервисы как способ защиты
Первая и не всегда очевидная линия защиты — это сами сотрудники. В интересах бизнеса необходимо повышать уровень осведомленности сотрудников о киберугрозах. Например, провести обучение тому, как идентифицировать потенциальную атаку шифровальщиков, реагировать на подозрительные ссылки, а также создавать сложные пароли.
Вторая линия защиты от шифровальщиков — различные средства информационной безопасности.
Защита конечных точек
Одно из простых и эффективных решений — сервис защиты конечных точек (Endpoint Security). Это комплексная защита подключенных к сети рабочих станций, серверов и устройств от вредоносного ПО и целенаправленных атак.
Как работает Endpoint Security? Сигнатурный, репутационный и эвристический (поведенческий) анализ помогают выявить большинство вредоносных программ в момент их попадания на рабочую станцию или сервер.
Модуль защиты сети позволяет обнаружить нежелательные сетевые обращения, в том числе к фишинговым сайтам в окне браузера. Модуль контроля запуска ПО превентивно заблокирует активность шифровальщика. Политика контроля устройств ограничивает подключение сторонних носителей к физическим рабочим станциям либо запускает их незамедлительную проверку на угрозы.
При подключении сервиса
защиты конечных точек (Endpoint Security) от Т1 Облако клиенту будет доступна резервируемая инфраструктура для антивирусного ПО и техническая поддержка. Ранее мы также рассказывали о нашем
сервисе резервного копирования. Он повышает надежность хранения данных: ваша резервная копия останется в целости и сохранности в случае воздействия человеческого фактора или обстоятельств непреодолимой силы.
Защита корпоративной электронной почты
Как мы уже упоминали, в большинстве случаев шифровальщики проникают в инфраструктуру через почту. Задача еще одного сервиса,
защиты корпоративной электронной почты, — проверять и при необходимости блокировать подозрительные письма. Этот сервис похож по функционалу на антивирус, но заточен на комплексную защиту именно электронной почты.
Он анализирует репутацию отправителя и почтового сервера, просматривает заголовки писем и их соответствие, проверяет URL и вложения в теле писем и т.п. Сервис может применять ограничения на пересылаемые файлы, например, блокировать письма с вложениями в виде .exe, .iso и другими функциональными и установочными файлами, в том числе скриптами. В сервисе более 1000 паттернов проверки, позволяющих обнаружить фишинг и нежелательные рассылки. Есть также глобальная база угроз, которая обновляется онлайн.
Команда высококвалифицированных специалистов Т1 Облако поможет интегрировать защиту корпоративной почты в инфраструктуру клиента, а также сделать работу сервиса максимально эффективной в виртуальной резервируемой среде.
Межсетевой экран следующего поколения
Сервис
Межсетевой экран следующего поколения (NGFW) — это система защиты сети в облаке. Ее задача помимо основных сетевых функций — мониторинг, сегментирование и фильтрация трафика. С помощью продвинутых модулей инспекции сетевого трафика эта система умеет защищать в том числе и от вирусов-шифровальщиков. Если в базе NGFW есть IP или домены, которые принадлежат хакерам или являются нежелательными ресурсами, то межсетевой экран блокирует соединение. По своей сути межсетевой экран защищает от зловредных действий внутри сети организации, например, ограничивает доступ вымогателей к внешним командным центрам (C&C). Если NGFW стоит не просто на периметре инфраструктуры, но и поддерживает виртуальное сегментирование сетей (VLAN), то в такой схеме становится доступна фильтрация на уровне внутренних подсетей и сервисов.
Потоковый антивирус, IPS/IDS и контентная веб-фильтрация могут выступить эффективным средством защиты и контроля сети, а отказоустойчивая инфраструктура в облаке и помощь наших специалистов помогут клиентам грамотно интегрировать NGFW в свою инфраструктуру.
2FA (Многофакторная аутентификация)
Это распространенный метод, как можно усилить защиту данных. Он уже стал жизненной необходимостью как для частных, так и для корпоративных пользователей. Многофакторная аутентификация помогает дополнительно обезопасить информацию от несанкционированного доступа и утечек. Сотруднику нужно подтвердить двумя разными способами, что именно он владелец учетной записи. То есть вначале он вводит логин и пароль, а затем для входа в систему надо указать второй фактор. Например, ввести код из SMS, Telegram, входящего звонка либо использовать токен, биометрию и т.д.
Сервис 2FA удобен тем, что его легко внедрить и настроить. Кроме того, он не требует затрат на поддержку.
Несмотря на наличие многофакторной аутентификации важно использовать сложные и надежные пароли. Лучше всего создавать отдельные комбинации для разных корпоративных ресурсов и хранить их в менеджере паролей, например, KeePass.
Вместо заключения
«Необходимо применять комплексный подход к защите своих информационных систем и ресурсов от всех актуальных киберугроз, в том числе, шифровальщиков. Только тогда безопасность вашей компании будет обеспечена на достаточном уровне. В частности, для этого стоит подключить сервисы по информационной безопасности, закрывающие все возможные векторы атак, вести мониторинг и заниматься аналитикой киберугроз, повышать квалификацию своих ИБ-специалистов, — говорит руководитель направления развития сервисов ИБ T1 Облако Игорь Плотников. — Мы, со своей стороны, предлагаем клиентам разместить свою инфраструктуру в защищённом и аттестованном облаке, помогаем подключить сервисы по модели SecaaS, а также консультируем клиентов по вопросам обеспечения безопасности их инфраструктуры».