Рецидив реален
Поразительно, насколько противоречивые эмоции вызывает у собственников и руководителей успешная кибератака на их предприятие. Досада от самого факта взлома, от потери ресурсов и от прощания с деньгами в какой-то момент сменяется чувством нездоровой радости. Взлом состоялся, выкуп уплачен, инфраструктура снова работает — самое плохое позади. Но так ли это на самом деле?
По нашим данным,
«Идеальный кибершторм» возникает в силу сочетаний различных факторов. Какие-то из них — чисто внешние «обстоятельства непреодолимой силы»: они сложились стихийно, и отдельно взятой организации повлиять на них практически невозможно. Хорошая новость в том, что другая категория причин носит субъективный характер. Изъять ее из уравнения, описывающего «идеальный кибершторм», — хороший способ для организации снизить интерес киберпреступников к ней.
Почему они возвращаются
1. Инструменты для взлома — в широком доступе
Онлайн-сервисы, нейросети и искусственный интеллект с успехом используются хакерами. По подписке доступны готовые наборы для фишинговых атак. Нейросеть поможет составить эффективное фишинговое письмо и модифицирует машинный код так, чтобы сделать его вредоносным. Более того, в Интернете работают целые платформы Hacking-as-a-Service, с которыми только начинают бороться. Так что хакером сегодня может стать кто угодно. И скучающий школьник, решивший самоутвердиться за счет взлома чего угодно. И гражданин, по-своему понимающей термин «заработок в Интернете».
Применения средств автоматизации и нейросетей — восходящий тренд индустрии кибератак, с которым стоит считаться. Это не очень хорошие новости еще и потому, что ИИ, платформы для взлома и готовые решения для атак вытаскивают новичков индустрии на новый уровень. Времена, когда хакер был знатоком технологий и сильным программистом, во многом позади. Навыки новичков сильно слабее, однако при наличии богатого инструментария они делают вещи, которые лет десять назад были доступны матерым киберпреступникам. В итоге — парадокс: хакеры в массе своей умнее не становятся, а ущерба приносят больше. Этот фактор непреодолимой силы, который так или иначе надо принять.
2. О вас много знают
Публичные реестры типа ЕГРЮЛ и специализированные онлайн-сервисы для проверки контрагентов вроде «СПАРК-Интерфакс» используются хакерами для выбора компаний-жертв. Злоумышленники все чаще выбирают предприятия с выручкой среднего бизнеса. Именно компании с выручкой в диапазоне
Да, информационную уязвимость можно побороть хитрыми способами структурирования бизнеса. Но давайте оставим за скобками различные финансовые периметры, распределение активов между многочисленными собственниками, схемы с разной степенью аффилированности и другие бухгалтерские маневры. Отметим лишь, что в условиях практически абсолютной прозрачности бизнеса, как того требуют от компаний фискальные власти, снизить заметность технологическими методами не получится.
3. С вами проще
Организации с хорошим потенциалом развития, особенно на новых рынках, непременно переживают «болезнь роста». Ряд корпоративных функций вроде маркетинга и финансов просто не успевают за движением бизнеса вперед и вверх. С информационной безопасностью то же самое. Казалось бы, еще вчера ИБ обеспечивал сам основатель, установив антивирус на единственный компьютер, а сегодня в его компании несколько десятков сотрудников, которые работают на своих ПК и не особо заботятся о сохранности данных, правах доступа и других высоких материях.
На то и расчет киберпреступников. Атаковать банк или крупную технологическую компанию с целой армией экспертов в кибербезе долго, дорого, а порой и бессмысленно. А средние предприятия — другое дело. Такие фирмы не успели нанять толковых специалистов и не сотрудничают с ИБ-провайдерами. При этом деньги у них точно есть. Киберпреступники рассчитывают, что подобные организации станут для них легкими мишенями и обеспечат максимальную финансовую отдачу от атаки на каждый час потраченного времени.
Этим фактором также можно управлять. Причем лучше делать это в комплексе с управлением уязвимостями.
4. Уязвимости на любой вкус
Выбранные для атаки организации подвергаются всестороннему аудиту. Чаще всего хакерами используются наиболее распространенные уязвимости типовых сервисов, из которых компании обычно собирают свою инфраструктуру.
Если вас уже взламывали, и после инцидента ваша организация не предприняла ничего, чтобы закрыть уязвимость, брешь в киберобороне будут эксплуатировать все, кто просто «проходил мимо». Но даже если «путь доступа» после инцидента оказался закрыт сознательным админом, злоумышленники точно попробуют прорваться через другие уязвимости. Информация о них у хакеров уже есть. Как и подробнейшее описание реакции компании на взлом и сработавшие аргументы заплатить.
Фактор наличия (или отсутствия) видимых «дыр» в безопасности целиком и полностью подконтролен руководителям организации. Поручите айтишникам накатить нужные патчи, установить все требуемые обновления безопасности, закрыть сетевые порты и проделать ряд подобных несложных действий — и это само по себе сильно усложнит задачу злоумышленникам. Не увидев привычных брешей в инфраструктуре, они предпочтут не связываться и уйдут ломать ваших более беспечных коллег.
5. Заплатили? Тогда мы [снова] идем к вам
Закон жизни: даже самые непримиримые по отношению к хакерам ИБ-специалисты обязательно рассматривают вариант переговоров со злоумышленниками. Просто в силу экономических причин заплатить выкуп бывает дешевле и быстрее, чем принципиально и последовательно пытаться победить хакеров. Нередко правильная аргументация на переговорах помогала существенно — в разы — снизить для клиента цену выкупа и не тратить дополнительное время на восстановление инфраструктуры.
Сразу оговоримся: платить выкуп — крайняя мера и точно не самый лучший антикризисный план на случай кибератак. Перечислив некую сумму на криптокошелек, вы продемонстрируете, что будете готовы делать это далее. Другими словами, собственным поведением вы можете спровоцировать злоумышленников на повторный визит через какое-то время, поскольку они увидят: даже по итогам первой атаки «клиент» не особо сопротивлялся. Так что платить выкуп — это действительно крайняя мера, и этот факт владельцам или генеральным директорам следует зафиксировать как самый последний ход в переговорах с вымогателями.
Как стать неинтересными?
В эпоху цифровой прозрачности никакая мимикрия не способна сбить злоумышленников с толку. Единственный рабочий вариант — создать условия, которые либо мотивируют хакеров совсем отказаться от преступных намерений в отношении вашей организации, либо заставят их много раз подумать об экономической целесообразности такой атаки. С огромной долей вероятности размышления приведут их к выводу, что конкретно ваша компания с точки зрения вероятной прибыли ничем не отличается от тысяч других. А значит, сознательно увеличивать себестоимость атаки для получения аналогичной выручки банально не имеет экономического смысла.
У такого консервативного способа стать неинтересными есть и обратная сторона. Выстраивание процесса управления информационной безопасностью — затея не самая простая и довольно долгая. По масштабам ее вполне можно сравнить с учреждением новой бизнес-функции. Скажем, с началом налаживания производства для компании, которая ранее никогда производством не занималась. Несмотря на наличие практически готового рецепта (рекомендую почитать ГОСТ 27001), движение к результативному кибербезу будет довольно долгим и дорогим.
Но что делать, если нет столько времени? Мы рекомендуем начать с базовых мер. Практически все перечисленные ниже мероприятия требуют для реализации только воли руководителя, позволяют обойтись без больших затрат на персонал, софт и «железо», но при этом демонстрируют эффективность практически сразу же.
Во-первых, внедрите практику создания резервных копий. А также позаботьтесь, что в случае возникновения критической ситуации вы сможете быстро и в полной мере восстановить из них всю необходимую вам информацию. Лучше смоделировать ситуацию, когда злоумышленник уже получил права администратора вашего домена. И в рамках этих «учений» продумать: что и как нужно сделать, чтобы хакер не смог с этими правами получить доступ к резервным копиям. Уверяю, почти сразу же придет идея хранить резервную копию в безопасном месте, подальше от серверов с данными.
Во-вторых, правильная парольная политика. Пароли должны содержать заглавные и маленькие буквы, цифры, спецсимволы. Длина пароля — не менее 12 символов. Также рекомендую использовать многофакторную аутентификацию. Но этот сервис сам по себе далеко не волшебная таблетка. Эффективность «многофакторки» зависит от ее конфигурации. И это тема для отдельной статьи.
В-третьих, регулярное обновление ПО. Тут все достаточно просто. Достаточно следить за выходом патчей и обновлений для ваших сервисов и операционных систем и регулярно эти обновления «накатывать».
В-четвертых, применять активные средства защиты от атак. Про антивирус, наверное, и не нужно упоминать. Более половины атак осуществляются с помощью вредоносного ПО, поэтому важность антивирусов даже не обсуждается. Со временем защиту можно будет развить до концепции XDR (Extended Detection and Response), когда антивирус — это часть целого подхода по обнаружению и автоматизированному реагированию на инциденты.
В-пятых, уделите внимание сетевому аспекту безопасности. Скажем, по возможности учредите белый список адресов, с которых можно подключаться к VPN и прочим сервисам. Настройте систему блокировки ip-адресов злоумышленников при выявлении аномалий — например, когда регистрируется факт перебора паролей или попытка подключиться под разными пользователями в течение определенного промежутка времени.
Для руководителя компании, который в конечном счете является главным выгодоприобретателем от налаженной функции корпоративного кибербеза, крайне важно следить за процессом настройки ИБ через правильную оптику. Благодаря ей каждый рубль, инвестированный в это направление, перестанет восприниматься как защита компьютеров от абстрактных кибератак. Скорее, он трансформируется в конкретный бизнес-подход, в рамках которого компания защищает вложенные средства, предотвращает потери, минимизирует ущерб от последствий кибератак. Которые — без иллюзий — токсичный и опасный фактор внешней среды.
