Top.Mail.Ru
Технологии
«Про бизнес» 18 июля 2019

Хакнули ИТ-систему через «умный» градусник — узнайте, как защитить деньги и данные компании

Фото с сайта kuzrab.ru
Фото с сайта kuzrab.ru

В виртуальной среде украсть данные или деньги компании проще, чем из сейфа гендиректора. И некоторые к таким атакам оказываются не готовы. Иван Бируля, директор по безопасности «СёрчИнформ», рассказывет, какие киберугрозы стоят перед компаниями и как защититься от основных рисков.

— В сети и в офлайн мошенники чаще всего преследуют одни и те же цели. В первую очередь под ударом деньги. Хакеры ищут способы добраться до счетов компании. Часто в опасности оказываются корпоративные секреты: внутренняя документация, персональные данные сотрудников и клиентов. Реже ставят целью саботировать работу компании и нанести ей репутационный ущерб.


Иван Бируля
Директор по безопасности «СёрчИнформ»

— По данным исследования Positive Technologies, в прошлом году 82% российских компаний стали жертвами хакеров.

Атаки извне

Говоря о кибератаках на бизнес, обычно имеют в виду случаи, когда некие компьютерные умельцы удаленно взламывают или заражают корпоративные сети. Классический вариант — когда злоумышленники действуют через технику. Способов атаки много, но давайте разберем самые распространенные.

Данные крадут с помощью уязвимостей «нулевого дня» — «дыр» в ПО, которое установлено на корпоративном оборудовании. Это не предусмотренные разработчиком возможности софта, которые позволяют хакерам удаленно подключиться к программе и отдавать ей команды. Само название предполагает, что на устранение таких уязвимостей у разработчика есть «ноль дней». Даже если производитель ПО устранил проблему по горячим следам, компании останутся в зоне киберриска, если вовремя не обновят софт.

И касается это не только программ и операционных систем для ПК, но и «прошивки» других устройств — от принтеров и камер до беспроводных термостатов.

Это не шутка: в прошлом году через уязвимость «умного» градусника в аквариуме хакеры проникли в локальную сеть казино и украли базу данных VIP-игроков.

Устройство имело выход в сеть и паролем защищено не было. К нему злоумышленники и подключились, перешли в локальную сеть казино и добрались до серверов. Но даже если пароль стоит, пользователи часто забывают сменить «пароли по умолчанию», а их легко найти в интернете. Например, с помощью поисковой системы Shodan можно получить доступ почти к любому гаджету, у которого есть выход в интернет. Можно вбить модель устройства по определенным параметрам, и система будет искать все устройства этой модели, подключенные к сети, кидать на них запрос о конфигурации и выдавать пользователю информацию о нем. Например, выдача покажет пароль по умолчанию, которым защищены устройства конкретной серии, и если пользователь этот пароль не сменил, есть возможность подключиться к устройству удаленно.

Чтобы «уронить» корпоративный сайт, АСУ ТП (автоматическую систему управления оборудованием на предприятиях) или рабочее ПО, организуют DDoS-атаки. Это делается, чтобы сорвать важные сделки, остановить производство или заблокировать сервис компании для клиентов. В результате бизнес теряет деньги и доверие заказчиков.

Фото с сайта picdn.net
Фото с сайта picdn.net

Но самыми популярными остаются вирусные атаки. Начинаются они обычно с того, что на корпоративную почту веерно рассылают спам с опасными вложениями. Дальше хакеры умывают руки — дело сделает запущенный в систему вредонос. Например, вирусы-шпионы собирают пароли и платежную информацию — злоумышленникам остается только обработать украденные данные. Вирусы-шифровальщики делают нечитаемой всю информацию на компьютерах и в локальной сети — за восстановление хакеры требуют деньги. Из-за такого вируса летом 2014 года, например, на несколько дней встала работа пары московских банков. 

Смешанные угрозы

Атаки на технику становятся все дороже, а потому менее интересны мошенникам. Всегда эффективно использовать главную уязвимость в организациях — человека. Лучшее подспорье преступников — фишинг и социальная инженерия. Это ловушки и манипуляции, направленные на то, чтобы пользователь кликнул на ссылку с вредоносным содержанием, открыл вложение или сам сообщил злоумышленнику личную или платежную информацию. И если фишинг ограничивается контактом с пользователем в интернете, то социальная инженерия выходит в офлайн.

Чтобы начать атаку, злоумышленникам нужно знать контакты будущих жертв. E-mail, телефоны и персональные данные сотрудников разных компаний часто утекают в сеть, так что базу жертв составить несложно. Самые грубые атаки — веерные, когда одно и то же сообщение отправляют широкому и разношерстному списку адресатов. Например, сообщения «о задолженности по кредиту» рассылают и тем, у кого кредит есть, и тем, у кого нет, и даже тем, кто вообще не является клиентом банка. Распознать такой фишинг совсем не сложно, но среди тысяч атакованных всегда найдется десяток пользователей, которые на удочку клюнут.

Фото с сайта theindianjourneys.com
Фото с сайта theindianjourneys.com

Но, конечно, более эффективные и опасные — точечные атаки, тогда они персонализированы для конкретного получателя. Работают письма, в которых злоумышленники мимикрируют под известных жертве отправителей. Самый простой и действенный способ — рассылка счетов с требованием «срочно оплатить задолженность» под видом контрагентов, благо перечень подрядчиков компании при желании разыскать несложно.

На эту схему попадаются даже голиафы рынка. Так, в 2017 году мошенник под видом контрагента выманил у Facebook и Google суммарно $ 122 миллиона. Мужчина зарегистрировал фирму с тем же названием, что и у крупного поставщика американских гигантов, а затем направлял «заказчикам» поддельные счета на оплату.

Другой вариант — ситуативные атаки. Когда Центральный банк России учредил Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), мошенники тут же сымитировали информационную рассылку от имени нового ведомства. Письма пришли банкам с поддельного адреса info@fincert.net. Официальный e-mail ФинЦЕРТа — fincert@cbr.ru — банковские работники на тот момент еще не запомнили, поэтому вложение в письме скачали более 70 раз. Файл содержал вирус для взлома банковского ПО.

Социальная инженерия — тоже очень действенный инструмент. Попадаются на него и простые пользователи, и самые высокопоставленные. Например, с осени 2018 года группа израильских мошенников атаковала топ-менеджмент крупнейших компаний Франции. С поддельного ящика МИДа им отправляли электронные письма с просьбой помочь стране и перечислить выкуп за дипломатов, якобы попавших в плен в Сирии и Мали. Для закрепления эффекта директорам звонили под видом министра иностранных дел или его помощников. Почти 40 попыток мошенников прошли впустую, но один бизнесмен попался и перечислил им 8 миллионов евро.

Мошенники действуют настойчиво, и с каждым годом их активность растет. Наши системные администраторы постоянно фиксируют веерные и точечные фишинговые рассылки конкретным людям или по отделам. При этом эффективность атак не падает. В среднем 30% пользователей открывают фишинговые письма и скачивают подозрительные вложения. А если рассылка выглядит как письмо от важного отправителя — начальства, банка, регулятора — цифра стремится к 100%. Например, киберучения в крупнейшем в России банке показали, что 80% сотрудников открывали поддельные письма председателя правления. Еще доверчивее получатели к сообщениям, которые содержат обращения по имени-отчеству и другие личные данные.

Опасность внутри компании

Киберпреступник — не обязательно таинственный хакер откуда-то из интернета. Им может оказаться собственный сотрудник. По данным нашего исследования, в 2018 году 66% российских и 70% зарубежных компаний столкнулись с утечками информации, которые спровоцировал персонал. При этом в 2017 году треть компаний пострадала от прямого инсайдерства, когда нарушители воровали информацию злонамеренно.

Некоторые сотрудники решают самостоятельно заработать на известных им секретах. Например, работник известного российского банка наторговал в даркнете данными о счетах клиентов на 390 000 рублей (около $ 6200). Промышленный шпионаж — также очень распространенная история. По нашим данным, в 2018 году с ним столкнулись 18,5% компаний России и СНГ.

Еще один вариант — саботаж. По заказу недоброжелателей или из личной мести сотрудники способны удалять или намеренно вносить ошибки в важные документы, заражать ПК вирусами. Наибольшую изобретательность сотрудники проявляют, когда им уже нечего терять — перед увольнением, особенно если оно происходит не по их инициативе.

Фото с сайта xumson.ga
Фото с сайта xumson.ga

В нашей практике был случай, когда клиент уволил системного администратора за вранье. Мужчина оформил больничный, а сам в это время слетал в Москву на собеседование к конкурентам. Когда обман раскрылся и с сотрудником расстались, он затаил обиду и подготовил саботаж. В последние дни на работе он внедрил в корпоративную сеть компании самодельный вредонос, а спустя время запустил его через удаленный доступ, чтобы удалить все данные с серверов бывшего работодателя.

Как бороться

Как видим, атаки почти всегда имеют комбинированный характер, а значит, против них работает только комплексная защита. Поэтому нужно не только вооружиться техническими решениями, но и подготовить персонал.

Обеспечьте основную защиту. На всех компьютерах компании должны стоять актуальные версии антивирусов. Это простое действие поможет уберечься от самой распространенной проблемы — вирусных и шпионских программ. Нужно помнить о своевременном обновлении операционных систем, программного обеспечения, не исключать обновление встроенного программного обеспечения оборудования. Не буду даже говорить про использование лицензионного софта (часто в пиратские сборки уже заложены «бэкдоры» — особенности кода, которые в дальнейшем позволят разработчику получить удаленный доступ к ПО). Разграничьте права пользователей строго их функционалом, вплоть до разрешения на запуск определенных программ, урезания прав на установку ПО и т.п. И это только база.

Привлеките дополнительные защитные решения. Полезно использовать Proxy и Firewall (выполняют роль фильтра между внутренней и внешней сетью, отсекают нежелательный трафик — например, распознают вредоносные сайты), IDS/IPS-средства (для выявления фактов неавторизованного доступа в компьютер или сеть, управления в удаленном режиме), DLP-системы (контроль действий пользователей), SIEM-системы (продвинутое ПО, которое регистрирует все события безопасности в сети). Все это — небесплатный софт, но хорошая новость в том, что многие решения интегрированы друг в друга. Например, многие Proxy-серверы оснащены встроенным антивирусом, и наоборот — большинство антивирусов имеют функцию Firewall. Кроме того, не обязательно закупать сразу все. Сначала нужно оценить, насколько то или иное решение вам подходит — например, малому бизнесу вряд ли есть резон строить великую китайскую стену от взломов.

Фото с сайта fdlx.com
Фото с сайта fdlx.com

Проверяйте ситуацию с безопасностью в компании, осуществляйте тестирование на проникновение — эксперты рекомендуют делать это дважды в год. Используйте для этого сканеры уязвимостей — специальный софт, который покажет уязвимости сети: открытые порты, небезопасные «учетки» и пр. Проверяйте инфраструктуру на внешнюю доступность: очень часто настроенные по умолчанию системы имеют доступ извне. Он нужен не всегда и не всем. Нужно постоянно контролировать, кому и в каком объеме предоставлен доступ к ресурсам компании извне. Классика жанра — когда человека уволили, но оставили доступ к базам данных или сети.

Программы для таких тестов обходятся недешево. Например, один из самых популярных сканеров — от 2 млн российских рублей (около $ 32 000). Но на рынке много предложений по ИБ-аудиту (ИБ — информационная безопасность) в формате аутсорсинга, когда компании нужно потратиться только на услугу, а не на ПО.

Защищайте персонал от действий мошенников — установите спам-фильтры, чтобы фишинговые письма попросту не доходили до адресатов. Последний рубеж защиты — те же DLP-системы. Их функционал очень широк, и они позволяют ИБ-специалисту в компании обнаружить, если мошенник провоцирует пользователя на опасные действия. Кроме того, такие программы помогают предотвращать злонамеренные действия инсайдеров. Мы посчитали, что в среднем закупка DLP обходится компании в ту же сумму, что годовой запас чая, кофе и печенья в офисе плюс новогодний корпоратив.

Повышайте уровень цифровой грамотности пользователей внутри коллектива. Делайте акцент на выработку у сотрудников отдельных навыков: сегодня учимся создавать надежные пароли, завтра — распознавать фишинг. Чтобы люди действительно усваивали ИБ-правила, устраивайте интерактивные курсы, тестирования, специальные обучающие игры. Важно, чтобы обучение не было разовым, а усвоенные знания можно было проверить. Например, после курса о фишинге устройте киберучения: разошлите «спам» сами и проверьте, кто все еще открывает подозрительные письма.

У бизнеса есть все возможности, чтобы вооружиться средствами киберзащиты до зубов. При этом важно помнить: без налаженной системы безопасности они работать не будут. В штате нужны грамотные ИБ-специалисты (если такой возможности нет, есть ИБ-аутсорсинг), а руководству стоит наладить с ними постоянный диалог. В идеале с учетом угроз можно пересмотреть сами бизнес-процессы: минимизировать технические риски и создать условия, когда сотрудникам легче соблюдать правила безопасности, чем искать обходные пути.

Новости компаний

Сейчас на главной

Платный контент