На банкоматы Альфа-Банка покушались. Как компаниям не стать жертвами хакеров: советы «Лаборатории Касперского» и SQUALIO

Недавняя новость о хакерской атаке на банкоматы Альфа-Банка (Беларусь) заставила нас задуматься: где могут быть уязвимые места в ИТ-инфраструктуре белорусских компаний. Причем речь идет не только о крупных, но и о средних и малых бизнесах. На наши вопросы ответили специалисты белорусской SQUALIO (DPA group) и российской «Лаборатории Касперского».

Попытка взлома программного обеспечения банкоматов с целью хищения наличных денег произошла на прошлой неделе.

Сейчас работа банкоматов сети (110 устройств в 16 городах Беларуси) поэтапно восстанавливается. Деньги в сохранности. Банк принял решение, что до 30 августа не будет взимать комиссию за снятие наличных со своих карточек, если ими пользуются в банкоматах других белорусских банков.

Вот несколько комментариев специалистов о методах, которые используют хакеры и о том, как бизнесу от них защититься.

Виды информационных угроз

— Чтобы понимать, как защитить данные компании, необходимо знать об основных видах и источниках атак.

1. Атака на веб-приложения (корпоративные сайты и порталы, системы управления ресурсами, системы дистанционного обслуживания). Уязвимости таких веб-приложений: один из источников, через которые проводятся атаки на корпоративные информационные системы.

2. Атака через подрядчика/партнера компании. Например, контрагенты оптовых торговых организаций, поставщики продукции имеют доступ к внутренним ресурсам и сегментам информационной сети предприятия. Это могут быть личные кабинеты, через которые осуществляется заказ продукции. В банках это может быть внутренний портал клиента, где есть возможность выгрузки и загрузки документов.

Пример: хакерский взлом крупной сети американских супермаркетов через e-mail подрядчика, обслуживавшего систему кондиционирования. Злоумышленники получили доступ к внутренним системам биллинга и управления проектами, установили вредоносное ПО на терминалы и собирали данные о банковских картах.

3. Атака через социальные сети. Если у сотрудников есть доступ к социальным сетям, можно использовать этот канал для получения доступа к информации организации (например, через вредоносные ссылки, файлы с вредоносным ПО и т.д.).

Это приведет к заражению рабочего компьютера и потере конфиденциальных данных.

4. Угроза утечки данных через инсайдера. Это вид угрозы, которая исходит от людей внутри организации (настоящие и бывшие работники, у которых есть доступ к конфиденциальной информации, а также знания о том, какими методами обеспечивается информационная безопасность внутри организации, защита данных и т.д.).

Результат: факты мошенничества, кражи конфиденциальной и коммерчески ценной информации, воровство интеллектуальной собственности, саботаж работы компьютерных систем.

5. Атака через электронную почту. Обмен электронными сообщениями неизменно повлечет за собой и угрозы, связанные с безопасностью корпоративной сети. Через e-mail организации подтверждены таким атакам, как: трояны, целевой и нецелевой спам, фишинг организаций и др.

6. Социальная инженерия. Это метод несанкционированного доступа к информации/ системам ее хранения, без использования технических средств. Основан на использовании человеческих слабостей (человеческого фактора).

Сотрудникам компании могут позвонить и представиться, например, сотрудником банка или правоохранительных органов, и попросить предоставить информацию. Поэтому работники должны знать, какую информацию и кому они могут сообщать.

Как компании снизить риск кибератак и утечки информации

В компании должны быть:

Отработанный процесс управления доступом. Большое количество информационных систем и сотрудников приводит к снижению уровня информационной безопасности. Для решения этой проблемы компании обычно внедряют системы централизованного управления доступом (IdM Identity Management-системы).

Автоматизация процессов управления учетными записями, управление правами доступа к корпоративной информации, создание систем согласования заявок на доступ к информации значительно снижает риски утечек. Становится ясно, к какой информации, когда и кому должен быть предоставлен доступ, а кому нет. Например, закрытие всех доступов при увольнении сотрудника.

Процесс управления уязвимостями. Внедрение в компании специального ПО: сканеров уязвимостей (в том числе для веб-приложений) позволяет эффективно контролировать уровень рисков информационной безопасности, управлять процессом их устранения.

Политика информационной безопасности (ИБ). Руководство компании должно понимать, что специалист по информационной безопасности не только расследует факты утечки информации, но и помогает минимизировать риски утечек. Она должна включать:

1. Цели информационной безопасности

2. Методы их достижения, меры ответственности персонала

Политика должна быть легкой для понимания сотрудниками компании. С ней должны быть ознакомлены все работающие и новые сотрудники.

3. Помимо базовой политики, в ней должны присутствовать другие элементы, например:

• Политика управления обработки и регистрации инцидентов ИБ (каждый участвующий в расследовании и устранении последствий инцидентов должен четко понимать, что и на каком этапе ему делать).
• Политика работы с корпоративной почтой (должно быть четко определено, как и от кого приходит почта, как обрабатывается, как с ней работают сотрудники и т.д.)
• Антивирусная политика (какой антивирус используется, с какой периодичностью обновляется, кем администрируется, какие политики настраиваются на каждом рабочем месте).

Порядок резервного копирования данных (критически важной информации, баз данных, почты и т.д.).

Резервные копии могут храниться в облачных хранилищах, на выделенных серверах и внешних дисках. Необходимость в процессе резервного копирования всех данных даже не подвергается сомнению. Должен быть четко определен порядок резервирования данных, порядок их восстановления, определена ответственность сотрудников по этим процессам.

Системы резервного копирования позволят быстро восстановить работоспособность автоматизированных систем при полной или частичной потере информации, в том числе из-за кибератак.

Чего ждать от хакеров в этом году: комментарии «Лаборатории Касперского»

— Проблема киберугроз усугубляется тем, что они далеко не статичны. Они множатся с каждым днем, становятся разнообразнее и сложнее, а киберпреступники, стоящие за ними, начинают все чаще применять метод целенаправленных атак на конкретные компании.

По нашим данным, в 2015 каждый второй корпоративный компьютер в России подвергся хотя бы одной веб-атаке.

И этот показатель значительно выше, чем в среднем по миру, — в глобальной бизнес-среде с интернет-угрозами столкнулось лишь 29% уникальных пользователей.

В целом же в прошлом году бизнесу приходилось противостоять сложным кампаниям кибершпионажа и целевым атакам, программам-шифровальщикам и вымогателям, атакам на POS-терминалы и серверную инфраструктуру.

Ключевые риски

Две внутренние угрозы. Ключевыми рисками внутри компании по-прежнему остаются:

• Уязвимости в ПО (48%)
• Незнание сотрудниками правил ИT-безопасности, приводящее к случайным утечкам данных (37%)

Эти две угрозы чаще других приводят к потере конфиденциальных данных. В целом, как правило, к потере данных приводит человеческий фактор.

Очень часто утечки происходят случайно. Вот почему компаниям нужно обратить особенное внимание на обучение сотрудников.

В целом компании все чаще выбирают комплексные и специализированные решения: защита от DDoS-атак, целевых атак, защита критических инфраструктур и т.д. Бизнес постепенно осознает, что традиционного антивируса уже недостаточно, ландшафт угроз и атаки становятся все более сложными. Одним из ключевых приоритетов становится защита от целевых атак. В 2015 году ее использовали уже 40% организаций, с которыми мы сотрудничаем.

Как меняются киберугрозы

Сегодня больше трети предприятий используют Wi-Fi для проведения финансовых транзакций. 58% компаний отмечают, что их клиенты все чаще предпочитают проводить оплату онлайн. Половина компаний согласна с тем, что для этого используются разные устройства.

Киберпреступники стремятся заработать на этом. Так, каждая четвертая компания замечает рост финансовых атак с использованием вредоносного ПО и фишинга (Выманивание с помощью спама, сообщений в мессенджерах, вредоносных сайтов конфиденциальной финансовой и другой ценной информации, — прим. «Про бизнес.»). При этом треть организаций признается, что не всегда может распознать мошенническую транзакцию.

Тем не менее, несмотря на растущую угрозу, только 54% компаний используют какие-либо решения для защиты финансовых транзакций.

Использование социальной инженерии — опасный тренд. В отличие от уязвимостей, которые киберпреступники эксплуатируют, не затрагивая напрямую пользователей, метод социальной инженерии предполагает контактирование с потенциальной жертвой.

Путем обмана, мошенничества, игры на чувствах пользователей злоумышленники вынуждают человека самостоятельно загрузить вредоносный файл на компьютер или вводить нужную им информацию на фишинговых сайтах.

Именно так, например, поступали киберпреступники в рамках кампании кибершпионажа Darkhotel, раскрытой нашими специалистами. Атака затронула руководителей ряда известных компаний. Механика этих атак была тщательно продумана: после того, как жертва заселялась в отель и подключалась к взломанной Wi-Fi-сети, указывая свою фамилию с номером комнаты, ей автоматически предлагалось скачать обновление для популярного ПО — Google Toolbar, Adobe Flash и др.

В действительности же это действие приводило к установке вредоносного ПО, которое и помогало киберпреступникам похищать конфиденциальные данные.

Последствия таких таргетированных операций и кампаний кибершпионажа всегда крайне серьезны. Они заканчиваются взломом и заражением корпоративной сети, нарушением бизнес-процессов, утечкой конфиденциальной информации, в частности, интеллектуальной собственности.

При этом почти каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.

Чего ждать в ближайшее время

Как предполагают наши эксперты, в ближайшем будущем, вероятнее всего уже в этом году, самые сложные на сегодняшний день целевые кибератаки перестанут существовать в виде, в котором они известны сегодня.

Группировки, стоящие за подобными атаками, изменят тактику и откажутся от продолжительности и сложности кампаний — ради их скрытности. Они будут отдавать предпочтение программам-зловредам, не оставляющим следов в зараженной системе. Это позволит дольше избегать обнаружения. Использование уже готового вредоносного ПО и вполне легальных программ для удаленного администрирования позволит хакерам быстро возобновлять атаку даже в случае блокировки какого-либо инструмента из их арсенала.

Вполне возможно, что изменения произойдут и в группировках, стоящих за их организацией.

В частности, все больший вес будут приобретать кибернаемники, которым будет поручено выполнение задач, не имеющих критической важности для вредоносной операции.

Кроме того, эксперты не исключают, что в ближайшем будущем для организаторов целевых атак появится своего рода новый продукт, который можно назвать «доступ-как-сервис» (Access-as-a-Service). Речь идет о продаже доступа к системам жертв высокого уровня, которые уже успешно были взломаны силами тех самых наемников.

Что касается инструментария киберпреступников, то в обозримом будущем особым успехом у них будут пользоваться программы-вымогатели. Эти зловреды блокируют доступ либо к браузеру, либо к операционной системе и требуют у жертвы деньги за возврат доступа к этим программам. Такие угрозы потеснят даже банковских троянцев.

Наши эксперты полагают, что уже сейчас эти зловреды активно осваивают новые платформы, в частности OS X (операционные системы компании Apple)

Более того, есть вероятность, что вымогатели будут не только заражать Mac-компьютеры, но и требовать выкупы «по ценам Mac». В более долгосрочной же перспективе эти программы вполне могут научиться атаковать любую подключенную к Интернету технику: телевизор, холодильник, автомобиль и т.д.

Под угрозой могут оказаться не только деньги, но и репутация, причем как частных пользователей, так и целых компаний. Достаточно вспомнить неоднократные случаи попадания в Сеть обнаженных фотографий знаменитостей, а также взлом систем Sony и сети знакомств Ashley Madison.

Эксперты уверены, что утечка личных файлов и их обнародование с целью скомпрометировать владельца — частного лица или организацию — будут происходить все чаще.

В целом же необходимо помнить, что надежная защита от всего многообразия киберугроз базируется на трех важных составляющих:

• Использование современного качественного защитного ПО
• Использование политик безопасности, регулирующих права доступа пользователей к различной информации и сервисам
• Обучение персонала правилам работы с конфиденциальной информацией