Война с вирусами-вымогателями — это объективная реальность сегодняшнего дня. За последние годы этот тип кибератак превратился в одну из главных угроз для предприятий. Мы были свидетелями грандиозных атак, приводивших к тому, что транснациональные корпорации или даже правительства становились уязвимыми и были неспособны решать свои важнейшие задачи. В 2017 г. эпидемия вируса WannaCry, заразившего более 200 000 компьютеров, заблокировала работу ИТ-инфраструктур больниц по всей Европе, наглядно продемонстрировав разрушительный потенциал программ-вымогателей.
И хотя WannaCry и Petya и сегодня остаются самыми известными случаями вредоносных атак, согласно отчету Европола за 2019 г. по оценке угроз организованной преступности в Интернете (Internet Organized Crime Threat Assessment, IOCTA), количество кибератак этого типа продолжает расти. Компании должны осознать эту угрозу и принять меры для подготовки к ней, чтобы суметь защититься и при необходимости провести восстановление после кибератаки. Это важнейший шаг, который поможет избежать плохо спланированных и наверняка неэффективных действий в дальнейшем, если атака вымогателя все-таки произойдет. Мощная многоуровневая защита и стратегия по борьбе с вирусами-вымогателями состоят из трех ключевых элементов: обучение, реализация мер и устранение последствий. Более того, важнейшую роль в защите непрерывности бизнеса в случае возникновения подобных инцидентов играет внедрение сверхустойчивого подхода к резервному копированию и восстановлению данных.
Обучение в компании
Обучение должно быть сфокусировано на двух основных аудиториях: сотрудники ИТ-отдела и корпоративные пользователи. Важно работать с обеими этими группами, поскольку угроза может проникать через любого их члена.
Три основных способа проникновения вирусов-вымогателей в систему организации — это протокол удаленного рабочего стола (Remote Desktop Protocol, RDP) и другие механизмы удаленного доступа, фишинг и уязвимости ПО. Проще говоря, в большинстве случаев у киберпреступников не хватает упорства, чтобы заполучить крупный приз. Понимание этого факта помогает правильно расставить приоритеты при реализации защитных мер и максимально обезопасить именно эти направления.
Большинство ИТ-администраторов ежедневно используют механизмы удаленной работы. При этом большое количество RDP-серверов напрямую подключены к Интернету. Однако в существующих обстоятельствах использовать RDP, доступные напрямую через Интернет, недопустимо с точки зрения безопасности. Как бы ни экспериментировали ИТ-администраторы с выделением особых IP-адресов, перенаправлением портов RDP, сложными паролями и прочим, аналитика не врет: больше половины вирусов-вымогателей попадают в систему через RDP. Соответственно, открытые для доступа через Интернет RDP-серверы и адекватная стратегия обеспечения защиты от вирусов-вымогателей — полностью несовместимые между собой вещи.
Еще один популярный способ проникновения в систему — фишинговые письма. Всем нам попадались письма, которые выглядят как-то подозрительно. Самое правильное — просто удалять их. Однако не каждый пользователь способен принять правильное решение. Существуют распространенные инструменты, позволяющие оценить риск фишинговых атак для организации, такие как Gophish и KnowBe4. Использование инструментов самостоятельной оценки рисков, а также обучение сотрудников распознаванию таких фишинговых писем и ссылок могут стать эффективной первой линией обороны.
Третий способ проникновения внутрь корпоративных систем — через существующие уязвимости ПО. Одна из старейших задач ИТ-отдела — своевременное обновление систем и ПО — на сегодня приобрела особую важность. Это довольно рутинная и скучная работа, но вы поймете ее истинную ценность, когда вирус-вымогатель попытается попасть в систему с помощью давно известной уязвимости, для которой уже есть устраняющее ее обновление. Важно помнить о необходимости поддерживать в актуальном состоянии критически важные элементы ИТ-инфраструктуры: операционные системы, приложения, базы данных и прошивки оборудования. Целый ряд крупных кибератак программ-вымогателей, в том числе WannaCry и Petya, использовали уже известные уязвимости, для которых были выпущены обновления.
Реализация мер и ликвидация последствий
Даже организации, следующие всем рекомендациям по защите от вирусов-вымогателей, все равно подвержены рискам. Несмотря на то, что обучение очень важно, компании должны быть подготовлены к худшему сценарию. Главное, что должны понять ИТ-отделы и руководители организаций, это то, что сверхустойчивая система резервного копирования данных совершенно необходима.
Мы считаем, что основная концепция общей стратегии управления данными заключается в следовании правилу «3-2-1». Согласно этому правилу, важные данные должны всегда храниться, как минимум, в трех копиях и на двух разных типах носителей. При этом хотя бы одна копия должна размещаться не на основной площадке. Большой плюс этого правила заключается в том, что его реализация не требует какого-то специального аппаратного обеспечения и за счет универсальности может помочь при практически любом сбое.
«Первая» копия в стратегии «3-2-1» должна быть ультразащищенной. Это означает, что она должна быть изолирована, храниться в месте, не подключенном к сети или на неизменяемом носителе. Существуют различные виды носителей, обеспечивающих сверхустойчивость, на которых может храниться эта копия данных. Это могут быть ленточные накопители, неизменяемые резервные копии в S3 или ином S3-совместимом объектном хранилище, изолированные или не подключенные к сети носители, а также SaaS-решения для резервного копирования и аварийного восстановления.
Знание и использование подобных методов и приемов не исключает того, что организации должны быть всегда готовы к борьбе с внезапно возникшей угрозой. Мы исповедуем очень простой подход: не платить выкуп; единственное возможное решение — это восстановить данные. Кроме того, организациям необходимо подготовить план реагирования на случай обнаружения угрозы. Первым делом надо связаться с техподдержкой. Не подвергайте риску ваши резервные копии — только они помогут вам восстановить данные после кибератаки.
В любой сложной ситуации первая возникающая проблема — коммуникация. Спланируйте, как передавать по внешним каналам информацию всем, кому необходимо. Сюда относятся текстовые списки групп, списки телефонных номеров и другие широко используемые механизмы обеспечения коммуникации в больших группах людей. В этот список контактов нужно включить специалистов по безопасности, реагированию на инциденты и управлению идентификационной информацией — как внутренних, так и внешних.
Кроме того, следует обсудить полномочия по принятию решений. Необходимо заранее определиться, кто принимает решение о восстановлении данных или аварийном восстановлении. После принятия решения о восстановлении нужно будет выполнить дополнительные проверки, прежде чем снова запускать системы в эксплуатацию. Также необходимо решить, что предпочтительнее: восстанавливать виртуальные машины целиком или выполнять восстановление на файловом уровне. Наконец, собственно процесс восстановления должен быть безопасным. Необходимо провести полное сканирование всех систем на вирусы и вредоносное ПО, а также заставить пользователей поменять свои пароли после окончания восстановления.
Несмотря на то, что угроза атаки вирусов-вымогателей вполне реальна, при условии правильной подготовки организации могут повысить свою устойчивость к подобным инцидентам и свести к минимуму риски потери данных, финансового и репутационного ущерба. Ключ ко всему — многоуровневый подход. Проведите обучение своих ИТ-специалистов, чтобы снизить риски и повысить защищенность. В любом случае, необходимо внедрить решения, обеспечивающие безопасность и резервирование данных. Наконец, в случае, если остальные линии обороны будут прорваны, будьте готовы восстанавливать информацию, используя инструменты резервирования и аварийного восстановления.