С начала кибератак вируса WannaCry прошел месяц. Правоохранительные органы, исследователи и специалисты по ИБ все еще пытаются определить: кто стоит за хакерской атакой и какими могут быть новые модификации вируса-шифровальщика. WannaCry, поразивший преимущественно ОС Windows, уже назвали «новым классом мощного кибероружия».
Вирусы-вымогатели, или шифровальщики, стали самым доходным типом кибератак. Средний размер выкупа, который требуют хакеры, в 2016 году вырос на 266% (данные Symantec Internet Security Threat Report). Эксперты Cisco в дополнение к этому отмечают, что такой тренд в дальнейшем будет только укрепляться (Midyear Cybersecurity Report, 2016). А вот еще один не менее удручающий факт, также доказанный статистическими отчетами: большинство компаний по всему миру не готовы к кибератакам. К примеру, осенью 2016 года вышел отчет IBM и Ponemon Institute об устойчивости организаций к действиям хакеров (Cyber Resilient Organization), который приводит печальную статистику: 66% компаний не смогут быстро восстановиться после атак, а 75% респондентов заявили, что у них вообще нет плана по реагированию на инциденты ИБ. При этом почти половина участников исследования в качестве основной причины уязвимости своего бизнеса указала повышенную сложность ИТ-процессов.
Согласно исследованию Cisco, вероятность появления нового поколения вирусов-вымогателей с более развитым функционалом очень высока. А организации сами создают благоприятную среду для их деятельности, не устраняя имеющиеся уязвимости ИТ-систем, не поддерживая на должном уровне сетевую гигиену и не используя эффективные средства обнаружения вредоносного ПО. Интересная деталь: в ходе обследования более 100 тысяч устройств, подключенных к Интернету, выяснилось, что большинство из них эксплуатируется при наличии известных уязвимостей. Средний срок активности уязвимостей превышает пять лет, а более 9% из них существуют на протяжении целого десятилетия (данные Cisco).
К сожалению, для всех корпоративных пользователей справедлив один принцип: чем важнее приложение для бизнеса, тем реже оно обновляется, поскольку любой апгрейд может повлечь сбои в рабочих процессах. Именно это и повышает риски стать жертвой успешной кибератаки.
Такая проблема особенно актуальна для крупных организаций, в которых эксплуатируется более тысячи рабочих мест различного профиля, а унификация оборудования и периферийных устройств, как правило, остается несбыточной мечтой. В таких условиях каждое обновление, к примеру, операционной системы становится настоящим вызовом для ИТ-подразделения. Грамотное профилирование рабочих мест, тестирование обновлений во всех имеющихся конфигурациях, постепенная их установка с учетом индивидуальных особенностей используемых ПК — все это практически невыполнимо, если бизнес требует постоянной работоспособности инфраструктуры, а на регламентные работы отводится минимум времени. В результате обновления устанавливаются «на авось», что многократно повышает риски сбоев и, соответственно, непредсказуемых потерь для бизнеса. Как показывает практика, любой апдейт вызывает какой-то процент сбоев в корпоративной инфраструктуре, а будет ли это ощутимым для компании — каждый раз загадка.
Операционные системы Windows, которые установлены на 90% ПК в мире, соревнуются друг с другом по количеству бракованных обновлений. Трудно сказать, кто в итоге победит, но в данный момент особенно болезненными для бизнеса оказываются сбои после автоматических апдейтов Windows 10. То веб-камеры перестают работать, то подключение к Интернету блокируется, а то и вовсе компьютеры зависают в процессе инсталляции обновления, как было в марте нынешнего года. Время восстановления систем предугадать невозможно, в зависимости от состояния ИТ-инфраструктуры компании счет может идти как на минуты, так и на часы или даже дни. Парадокс — Microsoft сама создала такую ситуацию, в которой легче отказаться от обновлений. Но самое главное, что частый выход апдейтов в связи с большим количеством уязвимостей может буквально застопорить бизнес-процессы крупных компаний.
Другая сторона проблемы — использование нелицензионного ПО, чем грешат более 62% российских компаний (по данным ассоциации производителей программного обеспечения BSA | The Software Alliance). Мировая статистика от Microsoft такова: за восемь лет от атак вирусов пострадали более 17 млн. устройств с нелегальным ПО. Риски подвергнуться атаке повышаются не только из-за отсутствия обновлений, но и по причине того, что 96% пиратских копий Windows распространяются с изменениями оригинального программного кода. Чаще всего это происходит из-за изменений, связанных с блокировкой функций подтверждения лицензии, что приводит к остановке автоматического обновления.
Казалось бы, возрастающая опасность кибератак очевидна, и тем не менее, 83% российских пользователей вообще не обеспокоены угрозами в сфере информационной безопасности (согласно Kaspersky Cybersecurity Index). О настроениях в корпоративном сегменте можно судить по статистике использования систем резервного копирования: значительная часть отечественных компаний, особенно в секторе СМБ, не используют бэкап. По некоторым данным, до 30% организаций не делают резервных копий, а 40% копируют неполные или неактуальные данные без учета их критичности для бизнеса.
Итак, что же необходимо сделать, чтобы сократить риски кибератак:
— поддерживать корпоративные системы в актуальном состоянии;
— тестировать конфигурации на предмет наличия уязвимостей;
— разворачивать все новые ИТ-продукты и любые обновления сначала в тестовой среде, чтобы понять, как их внедрение повлияет на уровень информационной безопасности, и только потом инсталлировать их в рабочую инфраструктуру;
— использовать средства защиты данных и обнаружения угроз ИБ, отвечающие требованиям бизнеса;
— осуществлять резервное копирование на регулярной основе, а в дополнение к этому — обязательный бэкап данных перед установкой любых обновлений;
— соблюдать правила сетевой гигиены и минимизировать возможности влияния человеческого фактора на безопасность корпоративных систем (по статистике, почти 50% кибератак на компании США и Германии произошло в результате открытия сотрудниками подозрительных ссылок или почтовых вложений).
И в завершение приведем факт, говорящий сам за себя: Минобороны РФ заявило, что вирус WannaCry не нанес ущерба его инфраструктуре по простой причине — ведомство использует отечественную операционную систему и другое ПО российской разработки, в том числе средства защиты данных.
Отмечу при этом, что отечественные ОС в большинстве случаев создаются на основе свободного и открытого ПО на базе Linux. Проблема шифровальщика их не затрагивает из-за отсутствия широко распространенного стандартного дистрибутива с аналогичной проблемой в сетевом сервисе. В случае широкого распространения конкретного Linux-дистрибутива средний уровень технической грамотности его пользователей будет снижаться, а архитектура будет стандартизироваться, делая ОС более привлекательной для проведения подобных атак.
Шифровальщики, созданные с целью получения больших доходов, всегда будут нацелены на наиболее распространенные программные продукты крупнейших мировых производителей, поэтому в текущий момент времени переход на отечественные разработки действительно может снизить угрозы для компании от массированных кибератак.
Автор статьи — руководитель службы информационной безопасности компании «Новые облачные технологии».