Главными факторами влияния на корпоративную кибербезопасность сегодня стали всеохватывающая цифровая трансформация бизнеса и массовый переход сотрудников на удаленную работу. Оба эти фактора изменяют и расширяют доселе привычный для ИБ-специалистов список уязвимостей в корпоративной ИКТ-инфраструктуре и вариантов кибератак.
Отталкиваясь от результатов исследований состояния корпоративной кибербезопасности в мире, проведенных компанией Cisco в 2020 г., бизнес-консультант по безопасности этой компании Алексей Лукацкий сообщил, что главной ИБ-угрозой для компаний в ушедшем годы были программы-шифровальщики.
В мире атаки с помощью шифровальщиков наблюдаются каждые 14 секунд, и 75% из них достигают своих целей. Пакет программ для проведения атаки с использованием шифровальщиков стоит на черном рынке около 50 долл., что делает этот вариант атак доступным для широкого круга злоумышленников. Например, в условиях связанных с пандемией массовых увольнений это может провоцировать людей добывать деньги на жизнь неправедным путем или отомстить кибератакой уволившей человека компании.
Интересно отметить, что простота определения ущерба от программ-шифровальщиков (величина требуемого выкупа) помогает применить против этого способа кибератак механизмы страхования, до сих пор все еще редко используемые в области ИБ-рисков.
Как показали исследования, применение шифровальщиков приносит злоумышленникам хорошую прибыль за счет оказания «услуги» раскодирования зашифрованных данных, а также за счет вымогательства денег угрозами публикации чувствительных скомпрометированных данных, разумеется в расшифрованном виде.
У специалистов до сих пор нет однозначных рекомендаций, как защищаться от программ-шифровальщиков. Чаще всего они советуют делать регулярные резервные копии критичных данных и при необходимости восстанавливать данные из них. Тем, кто все-таки стал жертвой вымогателей, большинство специалистов советует не поддаваться шантажу. Однако даже на конференциях, собирающих лучших ИБ-экспертов мира, можно услышать советы жертвам атак программ-вымогателей выплачивать выкуп — порой для них это единственный и, как показывают исследования, менее дорогой способ восстановить работу компании. На выплаты шантажистов сегодня соглашаются примерно 26% атакованных. Средняя сумма выкупа в 2020 г. составила 178 тыс. долл. (для малого бизнеса — 5,9 тыс. долл.).
Предпочтение индивидуальными пользователям систем мгновенного обмена сообщениями вместо электронной почты — остающейся долгие годы основным каналом заражений — уменьшило сегодня количество атак на них, в отличие от пользователей корпоративных, количество атак на которых с использование электронной почты (и с применением приемов социальной инженерии) не уменьшается.
Продолжается развитие киберпреступности как «черного» бизнеса со всеми атрибутами, свойственными бизнесу «белому». Так, по словам Алексея Лукацкого, владельцы шифровальщика Maze, одного из самых продуктивных для злоумышленников в 2019 г., создали в 2020 г. картель из операторов других шифровальщиков с целью обмена тактиками атак и украденными у жертв данными.
Для увеличения вероятности получения выкупа они использовали СМИ, отслеживали публикации о себе, делали достоянием гласности последствия невыплаты выкупа, опровергали искажения информации о своих преступлениях (например, о завышении сумм выкупов), обещали не атаковать компании, сильно пострадавшие от экономического кризиса и не беспокоить в начале пандемии медицинские учреждения; своим жертвам (которых они именуют клиентами) они организовали техническую поддержку при восстановлении зашифрованных данных (разумеется, после выплаты выкупа) с раздачей ключей для пробного восстановления части атакованной информации. С учетом жизненного цикла шифровальщиков в год-два операторы Maze заранее предупредили своих «клиентов» о завершении «поддержки», стимулируя на финише существования Maze особо несговорчивых «клиентов» выплатить выкуп.
Не менее активно наряду с электронной почтой злоумышленники использовали в прошлом году протокол RDP (remote desktop protocol), в том числе трансформировав его в инструмент RAT (remote access trojans) для распространения через RDP троянцев, предназначенных для максимально возможно скрытной кражи данных. Характерным признаком современных троянцев является модульность их архитектуры (по нескольку десятков модулей в одном троянце). Помимо RDP они используют многие другие технологии, представляя собой в результате универсальный хакерский инструмент типа швейцарского ножа — с загрузкой новых модулей, коммуникацией с командными серверами, записью аудио и видео с атакованных веб-камер, записью звука со звуковых карт, перехватом ввода с клавиатур, выгрузкой данных наружу...
Свои инфраструктуры злоумышленники продолжают активно использовать для отработки популярных в Интернете информационных тем. Так, в Рунете они отрабатывали тему коронавируса и средств защиты от него, лекарств, вакцинации, государственных пособий, курьерской доставки, интернет-магазинов и т. п., оперативно открывая фишинговые сайты с соответствующими названиями (так, по данным Cisco, в доменах со словом «коронавирус» в названии больше половины в 2020 г. были вредоносными).
Россия не сильно отличалась в прошлом году как объект кибератак от других стран. Тем не менее, российские медицинские учреждения, в отличие от многих иностранных, не попали в фокус интересов киберпреступников за исключением отдельных случаев атак на организации, занимающиеся приемом биоматериалов и проведением их анализов, кражи конкурентами частных клиник клиентских данных (для рассылки предложений от своего имени).
С другой стороны, по словам Алексея Лукацкого, ИБ-специалисты фиксируют рост внимания к российским АСУ ТП. К счастью, он не имеет взрывного характера, направлен на офисные ИКТ-системы компаний-владельцев АСУ ТП и преследует цели нарушения бизнес-управления, а не технологических процессов непосредственно. Тем не менее, владельцам АСУ ТП следует иметь ввиду, что в условиях углубления цифровой трансформации границы между отдельными сегментами корпоративной ИКТ-инфраструктуры все больше размываются, что делает возможным проведение кибератак на АСУ ТП через атаки на офисные ИКТ-сегменты.
Согласно данным исследования Cisco, средние и крупные компании России демонстрируют лучшее состояние ИБ, чем в среднем в мире. Основные причины неудач в обнаружении кибератак, по признанию самих компаний, заключаются в отсутствии целостного взгляда на ИБ, преобладании реагирования на ИБ-инциденты постфактум путем наложения «заплаток», а также нехватки инструментов и процессов мониторинга инцидентов и реагирования на них. Российским ИБ-регуляторам эта ситуация известна, и поэтому в нормативные требования они включают задачи мониторинга состояния корпоративной ИБ-системы, реагирования на ИБ-инциденты и обязательного уведомления о них надзирающих структур. Это способствует изменению ситуации в сторону усиления киберзащищености российских компаний, хотя, как считает Алексей Лукацкий, процесс это не быстрый.
Исследования Cisco также показали, что в нашей стране ситуация с обменом ИБ-информацией между отдельными игроками ИБ-рынка заметно хуже, чем в среднем по миру. Уступают наши компании также в организации реагирования на ИБ-инциденты, что приводит к их эскалации и усугубляет их последствия.