Англоязычный термин ransomware в последнее время стал настолько активно встречаться в публикациях, что все чаще воспринимается как наш родной. Речь, как известно, идет о попытках вымогателей получить выкуп за восстановление данных, зашифрованных программой-агентом, вторгшейся в корпоративную сеть компании. Строго говоря, злоумышленники пытаются взымать выкуп даже не за восстановление как конченый результат, а за ключ шифрования, который высылается жертве, чтобы он сам выполнил процедуру восстановления.
С формальной точки зрения ransomware однозначно может быть классифицирована как одна из подтем сферы информационной безопасности, которая в бизнесе (тему ransomware в случае индивидуальных пользователей здесь рассматривать не будем) традиционно рассматривалась обособлено от темы прикладной автоматизации бизнеса. И соответственно вопросы защищенности ИТ-систем редко трактовались в контексте совершенствования прикладных характеристик ИТ-инфраструктуры — прежде всего надежности и производительности.
С другой стороны, появление ransomware вносит в повестку дня не столько тему защищенности информационных ресурсов бизнеса (хотя и это, конечно, немаловажно), сколько как раз тему надежности и устойчивости функционирования ИТ-систем. Этот очень важный тезис фактически постулирует, что вложения в защиту информации по определению не очень эффективны, если система ненадежна, и наоборот — если она не защищена, то и повышение надежности ее функционирования не даст нужного эффекта.
Информация, как известно, представляет ценность, и стремление злоумышленников получить над ней контроль не ново. О ransomware широкой общественности стало известно после знаменитого зловреда Wannacry, атаковавшего организации во всем мире в мае текущего года. Вместе с тем первые достоверные случаи подобного вымогательства были зафиксированы еще в 1989 г., когда такая программа-зловред передавалась на дискете, а о размере выкупа пострадавшему сообщали по телефону.
Теперь, как нетрудно догадаться, все изменилось кардинальным образом, но суть изменений не только и не столько в технологиях. Отдельные попытки мошенничества превратились в многомиллионный бизнес. У него есть отлаженные шаблоны процессов, есть то, что принято называть системами комплексной автоматизации, охватывающими полный цикл (в данном случае — от реализации стратегии внедрения вируса до получения выкупа). Как бы цинично это не звучало, здесь вполне можно говорить о внятной политике ценообразования и «клиентской стратегии». С каждой организации скорее всего сейчас потребуют ту сумму, которую она в состоянии отдать. Рассчитать возможный убыток от ransomware не сложно, ведь речь в данном случае не идет о краже данных, передаче их конкурентам и т. д. Соответственно нет необходимости составлять прогнозные модели последствий и рассчитывать вероятности их наступления. Практикуются даже своего рода «программы лояльности» — за оплату суммы выкупа в течение суток можно, скажем, получить скидку в 35% .
Целевых «клиентов» злоумышленники тоже чаще всего выбирают не случайно, оценивая при этом целый ряд параметров. Так, очень часто атаки проводятся на медицинские учреждения. Их платежеспособность, быть может, и не наивысшая среди множества разных отраслей, зато операционная деятельность в очень сильной степени зависит от ИТ, да и ИТ-решения тут не всегда самые современные. Кроме того, с компьютерной техникой в медицинских организациях работает большое количество персонала с очень разным спектром соответствующих навыков. Неудивительно, что часто эти навыки оказываются весьма невысокими, что для успешного распространения ransomware очень важно. По этим же причинам, а также вследствие технических возможностей организации атаки в очень широких масштабах целью злоумышленников все чаще становятся малые и средние предприятия.
Уже упомянутая атака WannaCry послужила дополнительным толчком к повышению интереса к проблеме ransomware со стороны исследовательских компаний, и, как следствие, теперь она очень неплохо описана количественно. По данным FBI некоторый всплеск инцидентов пришелся на 2015 г., когда данная организация зарегистрировала 2,5 тыс. обращений американских компаний против 1,5 тыс. годом ранее, хотя здесь речь идет только об официальных обращениях. В
Противодействие врагу
Детальная фиксация текущего положения вещей естественно дает почву для рекомендаций. В зарубежной прессе очень часто можно встретить материалы озаглавленные примерно так: «10 способов справится с проблемой ransomware». Эти десять (восемь, двенадцать или пятнадцать — в зависимости от материала) рекомендаций всегда можно разделить на группы. В первую входят вполне традиционные методы информационной безопасности, во вторую все то, что связано с социальной инженерией и просветительской деятельностью среди сотрудников. Не надо забывать, что в подавляющем количестве случаев источником ransomware является фишинг, отчего и исходит повышенное внимание злоумышленников к тем организациям, где уровень ИТ-эрудиции пользователей не всегда высок.
И третья группа представляет собой рекомендации, связанные с ИТ-архитектурой. Настоятельные советы по поводу использования облачных хранилищ или вывода устройств хранения из онлайна в офлайн-режим на максимально возможный период времени в данной ситуации очень популярны и весьма действенны. Вспомним, что ответом на угрозы ransomware (по крайней мере, на сегодняшний день) является скорее повышение надежности функционирования ИТ-систем, чем уровня их защищенности. Как следствие основной и в настоящий момент наиболее эффективный способ противодействия ransomware ‒ создание резервных копий. По данным компании KnowBe4, к нему сейчас прибегают (и при этом очень успешно) почти 90% организаций, которые подверглись вымогательству.
Почему мы имеем такую ситуацию? Ведь решения класса Backup, строго говоря, не из арсенала ИБ, да и теоретически их трудно считать лучшими. В любом случае мы боремся с последствиями произошедшего инцидента, а не предотвращаем его, что, казалось бы, уже не оптимально. Здесь следует еще раз напомнить, что первичным источником распространения ramsomware является пресловутый фишинг, и это часто существенно ослабляет эффект от применения классических инструментов информационной безопасности. Антивирусные решения сейчас используются в большинстве компаний, но при нынешних масштабах проникновения ransomware в бизнес эта угроза естественно не могла пройти и мимо них. Надо сказать, этот вопрос уже успели изучить количественно. Так, по данным той же KnowBe4, от 20 до 55% организаций, использующих наиболее популярные антивирусные программы (а это Symantec, McAfee, Kaspersky, Trend Micro, Sophos, ESET и некоторые другие), все-таки подверглись электронному вымогательству. Более того, это же исследование показало, что 53% компаний, у которых была выстроена глубоко эшелонированная оборона из продуктов нескольких компаний, все равно не избежали последствий ransomware. Самостоятельная расшифровка данных как один из путей решения проблемы в практических ситуациях в расчет, как правило, не берется, и организациям остается два варианта:
‒ платить выкуп вымогателям;
‒ использовать средства резервного копирования и восстановления данных.
Как бы цинично это ни звучало, целесообразность выплаты вымогаемой суммы пытаются оценивать предельно объективно. Ведь размер выкупа часто не астрономический и к тому же устанавливается индивидуально. Некоторые источники пишут, что злоумышленники, получив от компании деньги, ключа ей все равно не отдадут. Это не совсем верно. Как мы отметили, ransomware сегодня это своего рода отлаженный бизнес, и те, кто им занимается, вряд ли будут подрывать возможности для его дальнейшего «развития». Тем не менее, по данным некоторых исследований, отдельные случаи невыдачи ключей все-таки были.
Гораздо хуже то, что в случае оплаты злоумышленники уж точно (опять-таки заботясь об «успешном развитии» собственного бизнеса) возьмут вашу организацию на заметку и будут впредь атаковать ее с утроенным рвением, что уже многократно установлено на практике.
Конечно, выплата вознаграждения преступникам и таким образом оказание им косвенной поддержки — это еще и очень серьезная имиджевая потеря. Не случайно всё в тех же исследованиях так существенно различаются результаты по случаям реальных выплат. При прямом опросе не многие признаются, что платили, и мы получаем очень малый процент. Если же используют непрямые формы, делая, например, опросы сервис-провайдеров, с которыми работают пострадавшие заказчики, цифры уже оказываются совершенно другими.
В результате еще раз повторим: резервное копирование и восстановление на сегодня наиболее популярный и пока единственный стопроцентно работающий инструмент противодействия ransomware. Остается вопрос, какой продукт выбрать?
Есть такое решение...
В общем-то очевидный факт, который тем не менее необходимо отметить, состоит в том, что резервное копирование и восстановление не является специализированным инструментом. Такие инструменты представляют собой вполне зрелый класс систем, которые использовались в бизнесе очень давно для целого ряда задач, вовсе не связанных с ransomware.
С другой стороны, надо иметь в виду, что существующие продукты, равно как и стратегия компании-поставщика в отношении них, явным образом учитывают решение рассматриваемых нами задач.
Ярким примером решения проблемы ransomware на сегодняшний день является продукт Backup Exec компании Veritas. Сам производитель дает несколько важных рекомендаций заказчикам относительно защиты от ransomware, которые будучи универсальными, конечно же подразумевают и возможности самого продукта Backup Exeс. Эти рекомендации таковы.
1. Не слишком разумно использовать для бэкапирования только одну среду, тем более что современные технологии изначально предлагают по крайней мере облачную альтернативу в виде ресурсов внешних провайдеров. Туда злоумышленники доберутся точно не сразу, да и не всегда. Backup Exeс предлагает пользователю массу сценариев работы с популярными внешними ресурсами хранения, среди которых Microsoft Azure, Amazon Web Services или Google Cloud. Дополнительным плюсом является то, что можно явно запретить доступ к этим данным со стороны любой системы, кроме самого сервера Backup Exeс.
2. Наиболее надежными считаются копии, хранящиеся на носителях, не связанных электронными коммуникациями с корпоративной сетью. В этом смысле компаниям полезно вспомнить, например, о магнитных лентах, а также о том, что среди продуктов своего класса Backup Exeс гарантированно совместим с самым большим числом самых разнообразных устройств хранения.
3. Очень важно сохранять несколько копий и продолжать хранить их даже тогда, когда специалисты организации после того или иного инцидента думают, что все данные восстановлены и работа завершена успешно. Это тем более важно в случае ransomware, манифестация которого часто происходит не сразу, и есть определенная вероятность сохранить в качестве резервной копии уже зашифрованные данные. В таком случае важно иметь возможность настраивать соответствующие политики, которые не дадут специалистам ошибиться. Backup Exeс полностью автоматизирует и берет под контроль процедуры создания множественных копий.
4. Осуществляя восстановление данных после ransomware-атаки мы боремся с ее последствиями, в любом случае теряя драгоценное время, и тут выигрывает то решение, которое позволит восстановить данные за максимально короткий период. Backup Exeс восстанавливает данные предельно оперативно, что, в частности, подтверждено многочисленными независимыми тестами. Кроме того, дополнительное решение Veritas Bare Metal Restore позволяет еще более сократить этот период, не усложняя при этом работу сотрудников, даже если речь идет о существенно гетерогенной ИТ-инфраструктуре.
СПЕЦПРОЕКТ КОМПАНИИ SOFTLINE