«Чаще проникают через сайты». Как бизнес будет защищаться от атак и строить центры кибербезопасности
Как и с помощью чего атакуют бизнес
Хакеры сегодня редко атакуют сети организаций прямо «в лоб». Для проникновения часто используются обходные пути. И далеко не всегда это очевидные лазейки. Пути проникновения порой выбираются самые изощренные. Иногда преступники заходят совсем издалека. Атаки могут осуществляться через промежуточные звенья: цепочки поставок, домашние компьютеры сотрудников, подрядчиков и поставщиков услуг.
Согласно результатам исследования Positive Technologies при совершении кибератак на бизнес, чаще всего, применяются (причем нередко несколько методов одновременно):
вредоносное ПО (57% случаев);
социальная инженерия (37%);
уязвимости в программном обеспечении (35%).
Но в зависимости от цели атаки частота использования различных методов различалась. Так, обычные пользователи теряли деньги и аккаунты при общении с незнакомцами в 91% случаев, а против сотрудников организаций социальная инженерия применялась в 43% инцидентов. В то же самое время при взломе корпоративных устройств хакеры проникали сквозь бреши в установленных программах в 30% случаев, а против обычных людей этот метод применялся лишь в 5% киберпреступлений.
Самыми частыми точками проникновения в сети компаний в течение года были:
уязвимости веб-приложений (86% инцидентов);
слабые пароли (65%);
недостатки конфигурации веб-приложений (36%).
Среди кибербезопасников бытует поговорка: на любом сайте всегда есть хотя бы одна уязвимость, что позволяет проникать в организацию через web. Она может быть еще не найдена, но в рамках целенаправленного исследования ее можно найти.
Наиболее популярным ПО, послужившим точкой входа в компьютерные сети компаний, стал CMS 1С-Битрикс. С его помощью киберпреступники получали доступ к системе в 53% случаев. Часто взлом происходит через почтовый сервис Microsoft Exchange (26%) и веб-платформу WebTutor (16%).
Слабым местом 1С-Битрикс с точки зрения безопасности является довольно специфическая процедура обновления: «пропатчить» приложение можно только при наличии договора технической поддержки. Если договор не продлевался и используется старая версия программы, то она становится крайне уязвимой для кибератак. Например, хотя бы из-за критической уязвимости, о которой стало известно лишь в начале сентября.
Как хакеры «кошмарят» бизнес
Как и раньше, огромную роль играет человеческий фактор. Получается интересная закономерность: чем больше доверия к защищенности информационной системы, тем выше риск ее взлома. Когда кажется, что всё и так отлично, наступает кошмар.
Типичный сценарий: сотрудник пошел пообедать в соседнее кафе, подключился к Wi-Fi и через этот канал получил на свой смартфон программу-шпиона, которая распространилась по корпоративной сети. Или директору может быть подброшена флэшка с вредоносным ПО, которое через рабочий ноутбук начнет действовать.
При этом цена ошибки может быть довольно высокой. Вот к каким последствиям приводят хакерские взломы:
утечка конфиденциальной информации (67%);
нарушение основной деятельности (44%);
использование ресурсов бизнеса для организации атак (7%).
прямые финансовые потери (4%).
Атаке подвергаются даже организации, работающие в сфере кибербезопасности. Так, только в России с марта 2022 года было взломано 8 таких компаний. Поэтому программное обеспечение, призванное нас защищать, тоже может служить источником опасности.
Один из антивирусов уже периодически используется для проведения атак. При условии, что он неправильно настроен. Хакеры подключаются к центральному модулю программы и за счет его возможностей по контролю доступа и всех компьютеров, на которых стоят агенты антивируса, получают полную свободу действий: устанавливают вредоносное ПО, крадут информацию и т.д.
Этот канал проникновения даже облегчает задачу злоумышленникам. Так бы им пришлось атаковать каждый компьютер, а здесь надо установить контроль всего лишь над одним узлом управления, чтобы получить доступ ко всей инфраструктуре.
В среднем хакеры находятся в инфраструктуре компаний около 200 дней, прежде чем их обнаружат специалисты. А абсолютный рекорд пребывания «крота», который нам удалось зафиксировать, составляет 11 лет. Обратились бы к нам раньше — такого бы не было, конечно.
К сожалению, традиционные способы построения системы защиты не очень эффективны. Поэтому даже если поставить по периметру антивирус и файрволл последнего поколения — это не сделает бизнес более защищеным. Это лишь создает иллюзию безопасности.
Как защититься от хакеров и аферистов
Распространенная ошибка — пытаться охватить всё. Количество атак бесконечно. Лучше сконцентрироваться на наиболее уязвимых местах.
При построении информационной защиты первым делом нужно наладить систему мониторинга каналов проникновения и векторов атак. При этом на начальном этапе лучше сфокусироваться на самых распространенных точках входа, так как большинство атак будет проходить именно через них.
При выборе системы стоит отталкиваться не от того, сколько техник она покрывает, а от того, насколько хорошо специалисты по безопасности умеют с ними работать и объединять в цепочки действий. Потому что совершенно бессмысленно обнаруживать атомарные атаки. Они могут быть ложными срабатываниями. Необходимо выстраивать цепочку, которая сама по себе уже является признаком несанкционированного действия.
Мониторинг возможных угроз — обязательное требование для центра кибербезопасности высокого уровня. Причем рекомендуется изучать не только угрозы нынешнего дня, но и смотреть на горизонт в 3-5 лет. Чтобы потом не пришлось перестраиваться.
Кибербезопасность не должна быть процессом, а иметь конкретный результат — защищенность компании. И это не просто набор мер. Защищенность важно регулярно проверять различными способами. Это ежедневная, в режиме 24×7 работа департамента кибербезопасности, которая встроена в бизнес-процессы всей организации. И начинать ее нужно с определения недопустимых событий, того чтоне должно произойти. Недопустимое событие может возникнуть в результате действий злоумышленников и делает невозможным достижение операционных и стратегических целей организации или приводит к длительному нарушению ее основной деятельности.
Примерами недопустимых событий для бизнеса могут быть выход из строя IT-инфраструктуры, несанкционированный вывод денежных средств со счетов или недоступность корпоративного сайта в течение какого-то времени. Конечный список всегда определяется топ-менеджментом конкретной организации и будет зависеть от специфики и потребностей самой компании.
Что требует регулятор и как реагирует бизнес
В начале года в Беларуси вышел 40-й указ «О кибербезопасности». Он призван кардинально повысить уровень киберзащиты белорусских организаций. Что изменится:
- Созданный в стране Национальный центр кибербезопасности будет заниматься обнаружением и предотвращением киберугроз.
- Некоторые организации, владеющие критически важными объектами информатизации (например, мобильные операторы) до 18 августа 2024 года должны буду построить центры кибербезопасности (SOC) или приобрести услуги у того, кто его создал.
- Все организации должны в течение года хранить информацию о киберинцидентах — событиях, которые угрожают потере конфиденциальности, целостности, подлинности, доступности и сохранности информации.
Кибератак становится больше, защита от них — это уже часть бизнес-процессов. Кроме того, не за горами проекты на основе интернета вещей, Big Data и искусственного интеллекта. Вместе с ними появятся и новые угрозы. Лучше подумать защищенности своего бизнеса с гарантированным результатом уже сейчас.
По материалам prvision.by
