2017 год стал, пожалуй, одним из самых громких в отношении массивных кибертатак и угроз. И это не значит, что в этом году угроз стало значительно больше, чем обычно. Просто про них стали больше говорить, люди стали обращать на них внимание. Руководитель группы по работе с партнерами в странах СНГ компании ESET Александр Жмур рассказал о том, чего следует опасаться и как обезопасить себя от киберугроз.
«Злоумышленники тоже делают ошибки»
В этом году компания ESET отпраздновала свое 30-летие. Первое программное обеспечение от бренда ее производства вышло в далеком 1987 году. Осенью 2011 года в Беларуси прошла сертификация корпоративных продуктов ESET, а летом 2014 – персональных.
По статистике компании, злоумышленники чаще всего делают упор на получение финансовой выгоды. Когда стало понятно, что на создании киберугроз можно зарабатывать деньги, многие начали создавать вредоносное ПО. Это оказалось довольно выгодной историей – теперь около 67% всех киберугроз имеют своей целью получение финансовой выгоды.
Шифраторы стали бичом современности. Они становятся все изощреннее. В этом году многие авторитетные СМИ говорили о таких угрозах, как WannaCry.
WannaCry стала самой знаменитой кибератакой этого года, да и, пожалуй, последних нескольких лет. Атака проводилась через уязвимость операционной системы Windows. При этом довольно любопытно, что компания Microsoft выпустила патч-обновление, которое «закрывало» эту уязвимость еще в марте 2017 года. В апреле многие специалисты и антивирусные компании говорили, что патч очень важен и закрывает принципиально значимую уязвимость системы. Но как вы думаете, многие ли люди решили обновить систему?
Атака WannaCry произошла в мае. И она наглядно показала, насколько огромное количество пользователей, даже зная об обновлении, устраняющем уязвимость, не обновили свою систему. Естественно, злоумышленники воспользовались этим пренебрежением и произвели атаку.
ESET удалось оградить своих клиентов от атаки WannaCry. У компании есть определенные технологии, которые позволили, когда началась глобальная атака, выделить код WannaCry и в режиме реального времени донести пользователям, что код – вредоносный и опасный. Система ESET ограничила пользователей, не допустив развития атаки WannaCry среди своих пользователей. И только позже появились сигнатурные базы, которые полностью «закрыли» этот хакерский удар.
История с WannaCry доказывает, что кибербезопасность – это комплексный вопрос. Антивирус является лишь небольшой частью этой системы и не является гарантией защиты. Система защиты будет эффективна, только если она комплексная, состоящая из всех необходимых частей.
Казалось бы, что может быть проще, чем обновить операционную систему? Но и этого не сделали. Были заражены тысячи рабочих станций, однако при этом злоумышленники заработали совсем немного денег. К счастью, они тоже порой делают ошибки. Шифратор был написан не идеально, поэтому даже после того, как пользователи заплатили деньги, данные не удалось расшифровать.
Особенно любопытно была построена система поддержки WannaCry. К людям, пострадавшим от шифратора, обращались крайне вежливо – мол, мы не хотели вас заразить, но так получилось – жизнь такая. Затем пользователям рекомендуют оплатить определенную сумму, чтобы через какое-то время им не пришлось платить еще больше. И люди платили. И получали какой-то ключ к расшифровке, но он не работал, потому что злоумышленники ошиблись в собственном коде.
«Обновили ПО – и вуаля: все заражены»
Другая история связана с шифратором PETYA. На этот раз злоумышленники были более изощренными и вдумчивыми. В Украине широко распространено специальное бухгалтерское программное обеспечение, которое называется M.E.Doc. Злоумышленники взломали серверы обновлений этого ПО и вставили вредоносный код в обновления, которые скачивали пользователи. Все обновили ПО – и вуаля! Все оказались заражены!
Когда в компании ESET расследовали этот налет, выяснилось, что атака все же не была направлена на получение финансовой выгоды. Она была направлена на остановку работы компаний – просто на деструктив. Цель была в том, чтобы нанести максимальный ущерб.
Существуют киберугрозы, о которых мало говорят, но, тем не менее, они тоже очень впечатляющие. Например, в России злоумышленники заработали за три месяца порядка полутора миллиардов рублей, получая доступ к 1С. Когда определенные компании делали переводы денег, злоумышленники подменяли реквизиты в ДБО и переводили деньги себе на зарубежные счета. Просто, правда?
Примеры могут быть разными, как и векторы атак. И злоумышленники очень активно развивают такие истории: меняют подходы и принципы, полностью меняют векторы. Но пользователю не нужно впадать в панику – нужно только думать о комплексном подходе к защите. Он должен начинаться даже не с установки антивирусного ПО, а с повышения грамотности всех специалистов.
Даже сейчас все еще актуален простейший вектор атак через электронную почту. Это стандартные вещи: спам-рассылки, вредоносные вложения. Про это ведь уже все знают и сто раз говорили. Раз за разом мы говорим: не открывайте подозрительные письма, не запускайте приложения, присланные неизвестными адресатами. Но подобные атаки все еще продолжают существовать.
ESET уже давно не является компанией, которая выпускает и занимается только антивирусным ПО. Среди прочих технологий, компания активно продвигает облачную систему телеметрии Live Grid, которая, в том числе, защищает пользователей от таких атак, как WannaCry. Сейчас интерес злоумышленников сосредоточен как раз в этой сфере. Часто это стандартные истории с фишингом: злоумышленники подменяют определенные площадки и воруют информацию пользователя – данные доступа на реальные площадки.
У ESET также есть технологии, которые защищают пользователя в случаях уязвимостей операционных систем. Технология позволяет выявить, что в том или ином ПО есть «дырки», которые нужно «закрывать». Она же не позволяет пользователю стать частью ботнет-системы. Кроме того, есть технологии, которые направлены на защиту от конкретных сетевых атак.
В последнее время наблюдается значительный рост количества хакерских ударов по мобильным устройствам. Огромная часть человеческой жизни теперь проходит в мобильном телефоне. Под угрозой оказывается все: контакты, личные фотографии, данные карточек и переписки. Число атак на мобильные ОС растет в геометрической прогрессии. Больше всего угрозам на сегодняшний подвержена система Android.
Главная причина распространения и успешности кибератак в недостаточных знаниях пользователей. По опросам ESET, около 20% пользователей в России принципиально не покупают лицензионное ПО.
Второй момент заключается в доступности лицензионного ПО. Для того, чтобы пользователь находил и использовал продукт, приходится внедрять различные каналы, по которым ПО можно приобрести.
Пиратское ПО используют потому, что оно бесплатное или дешевое. И его выбирают не только рядовые пользователи, с этим легко можно столкнуться и в корпоративном сегменте. Компании откровенно говорят, что хотели бы использовать лицензионное ПО, но оно стоит огромных денег, поэтому единственный выход – пиратские варианты.
И, к сожалению, нельзя сказать, что наблюдается стремительная динамика в пользу лицензионного ПО: прирост его приобретения, по оценкам различных специалистов, составляет не более 1-2% в год. Конечно, все идет к тому, чтобы полностью перейти на лицензионное ПО, но завершится этот переход еще не скоро.
Конечно, главной уязвимостью перед киберугрозами всегда остается человеческий фактор. По опыту, если разослать всем сотрудникам компании письмо с вредоносным ПО, обязательно найдется хотя бы один, который его откроет. Сейчас вопрос состоит в том, чтобы построить систему защиты, максимально ограничивающую человеческий фактор, и настроить систему так, чтобы подобные письма просто не доходили.
«Мне надо работать, а не фигней заниматься»
Какие сотрудники являются потенциально наиболее опасными с точки зрения кибербезопасности в большинстве компаний? Многие ошибочно думают, что это удаленные сотрудники. Но на самом деле это топ-менеджеры. Во-первых, у них есть определенный доступ к ресурсам компании, которые представляют потенциальную выгоду для злоумышленников. Во-вторых, топ-менеджеры зачастую довольно критично относятся к попыткам навязать им или установить определенные системы защиты. Попробуйте прийти к своему начальнику и сказать: «Мы вам сделаем процесс двухфакторной аутентификации для входа в систему. Вам нужно будет ввести дополнительный пароль, который высылается на номер телефона». Вам скажут: «Зачем мне это надо? Мне надо работать, а не фигней заниматься».
В данном случае будут эффективны продукты, которые позволяют защитить историю доступа. Такие же продукты используются для защиты VPN-доступа. В такой системе сотрудник получает код доступа на телефон и только тогда может залогиниться. Это серьезно усиливает защиту. И это действительно несложная процедура, просто необходимо желание её внедрять.
Есть еще один элемент комплексной защиты – продукты, предотвращающие утечку информации. ESET буквально недавно запустили новое решение – «Офисный контроль и DLP Safetica». Оно состоит из трёх модулей. Есть аудитор, который позволяет получить полную информацию о том, чем заняты сотрудники на рабочем месте: куда они заходят, в каких приложениях работают, сколько времени на них тратят, какие письма отправляют и т.д.
Многие поначалу воспринимают это как элемент тотального контроля за работниками. Но большинство компаний используют продукт в целях оптимизации. Например, если отследить, что из сотни сотрудников только двадцать используют дорогостоящий продукт, на покупку которого компания тратит деньги, то с помощью аудитора можно отследить это и оптимизировать закупку ПО, экономя свои деньги.
Следующий модуль – супервайзер. Это расширенная версия аудитора, которая позволяет широко рассмотреть бизнес-процессы в компании, определить, какие желательные или нежелательные действия совершают сотрудники, и впоследствии оптимизировать их работу.
Третий модуль, самый продвинутый – DLP. Он позволяет компании защитить конкретные важные файлы от копирования, отправки по почте или изменения. Система позволяет отмечать такие файлы и настраивать в отношении их определенные «политики», разграничивая, что можно и нельзя делать с файлом.
За 30-летнюю историю компания ESET составила весомую компетенцию и сейчас обратилась к направлению консалтинга. Компаниям могут предоставлять как глобальные услуги, вроде аудита безопасности, так и базовые – анализ вирусов. Отправив полученное вредоносное ПО, компания получает полный отчет с информацией о том, с чем они столкнулись, как оно работает, чем может быть опасно, и как это устранить.
Ещё один недавно представленный сервис от компании ESET – это Threat Intelligence, позволяющий повысить компетентность сотрудника в сфере кибербезопасности. С помощью этого сервиса ИТ- или ИБ-специалист может получить полную информацию о потенциальных угрозах, которые могут в ближайшее время стать проблемой для компании. Услуга представляет собой расширенный анализ вредоносных программ. Threat Intelligence может быть интегрирован с SIEM-системами.
Сейчас тема кибербезопасности актуальна во всем мире. Защита компании от киберугроз достигается не только покупкой и установкой какого-то продукта. Это должна быть комплексная система из ряда продуктов. Кроме того, необходимо повышать грамотность сотрудников в области кибербезопасности. И это касается каждого: независимо от того, является пользователь частью организации или нет, использует ту или иную ОС, выбирает компьютер или мобильное устройство.
Комментарии
И, представьте, спидом тоже всё ещё заражаются. Даже через интегрированные презы. :)
Такие статьи имхо надо помечать "На правах рекламы". (В данном случае -- продуктов ESET.) Поэтому оценил неаысоко.