DDoS и конкуренция: как не стать жертвой недобросовестных игроков рынка
Узнать большеВ мае 2017 года мир столкнулся с масштабной кибератакой. Вирус-шифровальщик WannaCry за считаные часы заразил более 500 тысяч компьютеров в 74 странах, нанеся ущерб на сумму около миллиарда долларов. Вирус использовал уязвимость в операционной системе Windows, распространяясь через локальные и глобальные сети, а затем шифровал файлы на компьютерах жертв. За возврат важных данных злоумышленники требовали выкуп.
Этот случай наглядно показывает, что даже крупные компании не застрахованы от киберугроз. Сегодня взломы с применением шифрования становятся более изощренными и все чаще затрагивают малый и средний бизнес. Киберпреступники целенаправленно выбирают небольшие организации, так как у них нет защиты или она достаточно слабая.
В статье расскажем, как распознать признаки взлома, какие шаги предпринять в случае атаки, как провести расследование инцидента и защитить бизнес.
Как понять, что произошел взлом?
Если произошел взлом с шифрованием данных, как в примере с вирусом WannaCry, вы сразу это заметите:
- Файлы перестанут открываться, их расширения изменятся на непонятные комбинации символов. Например, вместо привычного .docx или .jpg вы увидите что-то вроде .locked или случайный набор букв.
- На экране появится окно или текстовый файл с требованием выкупа и инструкциями по оплате. Иногда указывается срок, после которого ключи расшифровки будут уничтожены. Но нет никаких гарантий, что после получения денег киберпреступники сдержат свои обещания.
Однако взлом может быть виден не сразу, особенно если он не связан с шифрованием данных. Цели могут быть разные: кража конфиденциальной информации, поиск уязвимостей для дальнейших атак или установка вредоносного ПО для долгосрочного контроля над инфраструктурой. Если у вас нет систем защиты и мониторинга, то вы можете даже не узнать, что данные с вашего компьютера уже были скачаны злоумышленниками. Поэтому важно обращать внимание на следующие признаки:
- Некорректная работа ИТ-инфраструктуры. Если вы замечаете, что в системе происходят изменения, которых вы не совершали, — это повод заподозрить взлом. Например, изменяются настройки безопасности, создаются новые учетные записи с правами администратора, отключаются важные службы.
- Подозрительный исходящий трафик в сторону интернет-сети. Если вы замечаете резкий рост объема исходящих данных или соединения с неизвестными IP-адресами, особенно в нерабочее время, это может значить, что злоумышленники передают украденные данные или управляют зараженными устройствами дистанционно.
- Отключение средств защиты или их неправильная работа. Когда антивирус, файрвол или другие средства защиты внезапно перестают работать или начинают функционировать некорректно, это может быть признаком того, что злоумышленники попытались обезвредить защитные механизмы. Поэтому важно регулярно проверять состояние защитных систем и оперативно реагировать на любые сбои.
- Информация в телеграм-каналах с данными о взломах и утечках. Киберпреступники зачастую публикуют украденные данные в открытых источниках, таких как Telegram или специализированные форумы в даркнете. Мониторинг таких площадок поможет вам оперативно реагировать на инциденты ИБ.
Если вы обнаружили хотя бы один из этих признаков, рекомендуем как можно быстрее провести комплексную проверку безопасности. Если опасения оправдались, и вы заметили подозрительную активность, обратитесь к специалистам, занимающимся расследованием инцидентов. Чем раньше вы отреагируете, тем меньше будет ущерб и выше шансы восстановить контроль над инфраструктурой.
Из-за чего может произойти взлом?
Чтобы минимизировать риск взлома, важно понимать, каким образом злоумышленник может получить доступ к инфраструктуре.
- Фишинговые письма. Это мошеннические сообщения, содержащие вредоносные ссылки или вложения. Злоумышленники часто маскируются под коллег, руководителей или контрагентов, чьи почтовые ящики были взломаны. При переходе по ссылке или открытии вложения на компьютер может попасть вредоносное ПО, которое предоставит киберпреступникам доступ к системе. Поэтому крайне важно обучить сотрудников распознавать фишинговые письма и не переходить по подозрительным ссылкам. А также использовать антивирус и SEG — Secure Email Gateway — для защиты корпоративной почты от спама и фишинга.
- Подбор пароля. Злоумышленники применяют автоматические программы для перебора паролей или используют утекшие базы данных. Слабые, стандартные или повторяющиеся пароли особенно уязвимы. Практика расследования инцидентов ИБ подтверждает, что они часто становятся причиной взлома. Чтобы защититься, используйте сложные и уникальные комбинации для каждого сервиса, регулярно обновляйте их и внедряйте двухфакторную или многофакторную аутентификацию.
- Уязвимости в ПО. Устаревшие версии операционных систем и приложений содержат уязвимости, которые злоумышленники могут использовать для проникновения. Регулярное обновление и использование средств защиты снижают риск эксплуатации уязвимостей.
- Зараженные устройства подрядчиков. Если устройство подрядчика заражено вирусом, он может распространиться на вашу инфраструктуру через общую сеть или облачные сервисы. Для защиты предоставьте подрядчикам доступ только к необходимым ресурсам и требуйте соблюдения ваших стандартов безопасности.
- Внутренние нарушители. При проведении расследования довольно часто выясняется, что в инциденте замешаны сотрудники компании. Они могут умышленно или случайно нанести вред: открыть фишинговую ссылку, намеренно установить на компьютер вредоносное ПО, передавать конфиденциальную информацию через мессенджеры. Чтобы минимизировать такие инциденты ИБ, важно контролировать права доступа, вести аудит действий пользователей и проводить обучение по безопасности.
Что делать в первую очередь, когда заподозрили взлом?
Злоумышленники часто проводят атаки ночью, в пятницу, выходные или праздничные дни. Это делается, чтобы у вредоносной программы было больше времени на работу, а у компании — меньше возможностей для оперативного реагирования и своевременного проведения расследования. Именно поэтому рекомендуем действовать быстро и без оглядки на день недели или время суток.
Что делать в первую очередь:
- Заблокируйте доступ к системе дистанционного банковского обслуживания (ДБО).
Свяжитесь с вашим банком для временной блокировки счетов и проверьте последние операции на наличие подозрительных платежей. Используйте средства связи вне скомпрометированной инфраструктуры, например личные устройства или телефоны.
- Не выключайте зараженные компьютеры, серверы или виртуальные машины.
В их оперативной памяти могут храниться важные данные, например ключи шифрования. Вместо этого отключите их от интернета — как проводной, так и беспроводной (Wi-Fi) сети. Это предотвратит распространение вредоносного ПО на другие системы. Прекратите любую работу на таких устройствах до завершения расследования.
- Срочно отключите серверы с резервными копиями и важными данными от локальной сети.
Лучше — физически отсоединить Ethernet-кабель. Если серверы находятся в виртуальной среде, сделайте «снапшоты» — точные копии их текущего состояния, которые помогут сохранить данные для расследования киберинцидента или восстановления в случае сбоя. Возможно, злоумышленники еще не успели добраться до резервных копий или до конца зашифровать. При работе с жесткими дисками, лентами и другими внешними носителями будьте максимально осторожны: подключайте их в режиме «только чтение», используйте гарантированно безопасную инфраструктуру для подключения, в крайнем случае создайте копию носителя на изолированном устройстве перед его использованием.
- Проверьте исходящий сетевой трафик.
Возможно, злоумышленники продолжают скачивать конфиденциальную информацию. Постарайтесь разорвать подозрительные сетевые сессии.
- Обратитесь к экспертам DFIR для проведения расследования.
DFIR — это область кибербезопасности, специалисты которой занимаются выявлением и расследованием инцидентов. Профессиональные команды DFIR, или «респондеры», собирают, сохраняют и анализируют цифровые доказательства для понимания того, что именно произошло, как это случилось и какие последствия имело.
После консультации с юридической службой обратитесь в правоохранительные органы. Организуйте режим работы для специалистов, задействованных в проведении расследования, восстановлении ИТ-инфраструктуры и взаимодействии с правоохранителями. Назначьте координатора и лицо, принимающее решения, — лучше разных людей. Обеспечьте их постоянную связь и доступность. Все коммуникации должны вестись вне пораженной инфраструктуры, так как злоумышленники могут читать корпоративную переписку. Лучше использовать личные устройства и мессенджеры, например Телеграм или eXpress.
- Оцените необходимость привлечения подрядчиков для реагирования на инцидент и восстановления ИТ-инфраструктуры.
Разные подрядчики могут иметь разные компетенции и ресурсы для реагирования и восстановления. Подберите подходящих специалистов с учетом специфики инцидента ИБ.
- Сообщите партнерам об инциденте.
Ваша инфраструктура может быть использована для атак на партнеров или компрометации их систем. Все сообщения партнерам, клиентам и третьим лицам согласовывайте с юридической службой.
- Назначьте ответственного за внешние коммуникации.
Обычно это сотрудник службы маркетинга. Желательно иметь заранее подготовленные и согласованные с юристами шаблоны заявлений для клиентов и СМИ. Они потребуются в случае длительной недоступности сервисов, размещения противоправной информации или утечки данных.
Помните, что все публичные коммуникации изучают злоумышленники, поэтому материалы готовьте вне пораженной инфраструктуры и публикуйте только после согласования с ответственным за безопасность.
- Подумайте о коммуникации с сотрудниками.
Многие сотрудники в нестандартной ситуации напуганы и не знают, как действовать. Это может помешать расследованию инцидента. Обеспечьте им понятные инструкции и поддержку. Объясните, что важно сохранить конфиденциальность и не обсуждать детали инцидента за пределами компании.
- Повесьте на сайт сообщение о техническом сбое.
Лучше всего добавить ссылку на социальную сеть, где компания ведет свой блог. Это позволит оперативно информировать клиентов и партнеров, не отвлекая персонал, задействованный в проведении расследования и восстановлении ИТ-инфраструктуры.
- Поддержите сотрудников, задействованных в ликвидации инцидента.
Воздержитесь от поспешных кадровых решений и обвинений до завершения проведения расследования и восстановления систем. Демотивированный персонал хуже справляется с задачами, а сотрудник, допустивший ошибку, но исправивший ее, для вашей компании лучше нового.
Проведение расследования: как проходит и куда обращаться?
Выше мы уже говорили про DFIR — цифровую криминалистику и реагирование на инциденты. Теперь остановимся на этом подробнее: что такое DFIR, зачем он нужен и как проходит расследование инцидентов.
DFIR объединяет два ключевых направления работы:
- DF — цифровая криминалистика. Это процесс сбора и анализа цифровых данных для выявления следов действий злоумышленников. В ходе проведения расследования эксперты изучают файлы, логи и другие данные, чтобы найти улики, восстановить удаленные файлы и определить методы атаки.
- IR — реагирование на инциденты. Специалисты определяют, как злоумышленники проникли в систему, ищут вредоносное ПО или закладки, анализируют возможные утечки данных и принимают меры для устранения проблемы. Главная цель — быстро восстановить работу компании, защитить ее от новых атак и предотвратить повторение инцидента.
Проведением расследования занимаются крупные игроки ИБ-рынка, в том числе эксперты «Солара». При обращении для проведения DFIR нужно предоставить следующую информацию:
- краткое описание проблемы,
- размер компании — количество сетевых узлов, хостов, сотрудников,
- контакты для связи с вами — телефон, почта,
- дополнительная информация — наименование компании, ее месторасположение и другие важные данные.
В течение 24 часов с вами свяжется дежурный сотрудник для уточнения деталей. Обычно специалисты стараются связаться как можно быстрее. Вам предложат проведение расследования в офлайн- или онлайн-формате. В случае очного обращения: от вас потребуется определить дату и время выезда специалиста, назвать адрес, предоставить ФИО и контакты ответственного за встречу на месте, заказать пропуска, при необходимости обеспечить парковку.
Как DFIR проходит офлайн
В назначенный день эксперты приезжают с собственной техникой и начинают с установочной встречи, на которой выясняют все подробности. Это помогает понять масштаб проблемы и определить план действий для расследования инцидента.
Далее специалисты приступают к анализу скомпрометированных узлов:
- ищут способы проникновения в инфраструктуру,
- выявляют все пораженные устройства и возможные закладки — бэкдоры,
- проводят детальный анализ жестких дисков, снимают с них копии с использованием блокираторов записи, чтобы сохранить целостность данных.
Работа в небольших инфраструктурах происходит, как правило, с участием одного-двух экспертов. Проведение расследования занимает несколько дней.
Как DFIR проходит онлайн
Проведение расследования онлайн требует слаженной работы сотрудников компании и экспертов DFIR. Сотрудники ИТ и ИБ собирают логи, улики, другие данные и передают экспертам для анализа. После изучения материалов специалисты дают новые указания. Задержки со стороны компании могут замедлить процесс и снизить его эффективность.
Как выстроить защиту бизнеса, чтобы минимизировать риски взлома
Киберпреступность — наша новая реальность: с каждым годом атаки становятся все изощреннее, а злоумышленники — хитрее. Компаниям приходится принимать новые правила игры и учиться эффективно защищаться. Поэтому важно уже сейчас постепенно выстраивать киберзащиту бизнеса с помощью следующих шагов.
Проводить аудит безопасности систем и инфраструктуры
Это первый, логичный шаг, к которому необходимо регулярно возвращаться. С целью базовой проверки используют сканеры уязвимостей — автоматизированные инструменты, которые выявляют слабые места в приложениях, операционных системах, программном обеспечении, сетях. Они находят уязвимости, которые злоумышленники могут использовать в своих целях, а также формируют отчеты с рекомендациями по устранению этих слабых мест.
Применение таких сканеров значительно повышает устойчивость инфраструктуры к киберугрозам и минимизирует риски.
Защищать инфраструктуру
Необходимый набор технических средств зависит от архитектуры сети — ее размера и сложности, а также от специфики отрасли и деятельности компании. Даже небольшие компании должны соблюдать отраслевые нормативы, заботясь о безопасности, особенно если работают на конкурентном рынке или имеют критически важные разработки, и использовать базовые средства защиты:
- файрволы,
- антивирусы,
- VPN для защиты локальной сети,
- многофакторную аутентификацию.
Защищать веб-ресурсы
Сегодня почти у каждой компании есть сайт или веб-приложение — это важный источник клиентов и дохода. Чтобы не потерять доступ к онлайн-ресурсу, важно защитить его от распространенных угроз:
- DDoS-атак, которые могут вывести сайт из строя,
- ботов, которые оставляют ложные заявки, массово бронируют товары, ищут уязвимости для последующих атак,
- вредоносных запросов, способных привести к потере контроля над сайтом, подмене контента или утечке данных.
Особенно важно защищать сайты, интегрированные с внутренними системами компании, так как злоумышленники зачастую атакуют веб-ресурсы для того, чтобы добраться до чувствительных данных. Защитить сайт поможет сервис Solar Space, обеспечивающий трехуровневую защиту:
- На первом уровне WEB AntiDDoS подавляет DDoS-атаки.
- На втором уровне WEB Antibot отсеивает ботов, пропуская на сайт только реальных пользователей.
- На третьем уровне WAF Lite блокирует вредоносные запросы, предотвращая эксплуатацию уязвимостей сайта, которая может привести к взлому и утечкам данных.
Доступная стоимость — от 1200 рублей в месяц за базовую защиту — делает Solar Space оптимальным решением для малого бизнеса и компаний, которые только начинают выстраивать свою систему кибербезопасности.
Обучать сотрудников и подрядчиков
Человеческий фактор часто становится причиной утечек данных. Сотрудники должны уметь распознавать киберугрозы, например фишинговые письма, и правильно реагировать на них. Формирование культуры информационной безопасности — ключевой элемент защиты. Для этого можно использовать решения из семейства Security Awareness, которые предполагают системное обучение персонала основам кибергигиены.
Обращаться за помощью к экспертам для проведения расследования киберинцидентов
Важно провести DFIR для того, чтобы:
- Выяснить, как злоумышленники проникли в систему, какие уязвимости были использованы и какие данные или системы оказались скомпрометированы. Это помогает понять степень ущерба и связанные с ним риски для бизнеса и репутации компании.
- Удалить злоумышленников из систем, восстановить работу компании и вернуть управление поврежденными ресурсами.
- Снизить риски повторных атак. После расследования киберинцидента эксперты DFIR дают рекомендации по устранению уязвимостей и укреплению защиты, что делает компанию более устойчивой к будущим киберугрозам.
Подробнее о проведении расследования мы рассказывали в предыдущем разделе.
