Инциденты информационной безопасности по всему миру случаются очень часто, а компании узнают о взломе лишь по прошествии от полугода до двух лет. Александр Свердлов, международный эксперт по кибербезопасности и генеральный директор Atlant Security, делится информацией, которая может спасти жизнь вашему бизнесу.
Признаки взлома
Если не говорить о все более популярных вирусах-шифровальщиках, именно таргетированная атака, цель которой – украсть данные, получить выгоду и остаться незамеченными, является главным намерением хакеров.
Часто о взломе сообщают сотрудники правоохранительных органов или сторонние организации, в чьи руки попадают сведения об украденных данных. Но даже если этого не произошло, это не значит, что вы не взломаны.
Проверьте вашу компанию по пунктам ниже:
1. Самый главный признак – наличие новых файлов на дисках взломанных систем. После установления доступа к сети хакеры часто приносят туда свои любимые инструменты. Именно по ним можно выявить атаку, если активно их искать. На западе такая практика, она называется threat hunting, или охота на угрозы безопасности.
Можете найти такие признаки с помощью Sysmon, бесплатного инструмента от Microsoft и хорошей системы анализа логов.
2. Наличие данных компании на хакерских («теневых») форумах. Существуют сервисы по поиску корпоративной информации на таких ресурсах. Например, DeHashed, Breach Aware.
3. Аномалии в поведении пользовательских устройств. Они могут проявляться в сетевом трафике, в новых и неизвестных процессах, запущенных на этих устройствах.
Для их выявления компаниям МСБ советую использовать бесплатные инструменты с открытым кодом — Security Onion, Suricata.
Мишени внутри компании
Самая частая атака – взлом почты сотрудников. Это быстро, дешево и предоставляет моментальный доступ к огромному количеству информации, которую данный сотрудник (или директор) когда-либо получал или отправлял. Там могут быть пароли, конфиденциальная информация, документы и многое другое, что хакеры потом используют для расширения своего доступа и получения выгоды.
Если говорить о сотрудниках — все являются мишенями, поголовно. В малых и средних компаниях самые интересные цели для хакеров — бухгалтеры и ассистенты директоров. Первые, потому что взломав их учетную запись можно получить данные о финансовых потоках, манипулировать документами, отправленными по почте – например, заменить банковские реквизиты.
В компаниях покрупнее интересными становятся отделы передовых разработок и ИТ-отдел, так как имея доступ к администратору, хакер получает доступ ко всем ресурсам компании.
Частые заказчики атак — конкуренты
В бизнесе, как и на войне, часто играют без правил. Если у противника есть слабость, многие, скорее всего, воспользуются ею. Стратегические планы компании, сведения о ценах, поставщиках, клиентах – все это можно получить, всего лишь заплатив за доступ к почте директора компании. Если вы просто ради эксперимента наберете в любом поисковике «взлом почты на заказ», узнаете насколько популярна эта услуга у бизнеса, криминала и даже домохозяек.
Поэтому стоит озаботиться, в первую очередь, защитой именно тех ресурсов, которые легче всего взломать и которые более всего популярны у злоумышленников.
Почему не надо платить выкуп
Надо постараться сделать так, чтобы когда придет письмо о выкупе, компания была готова к этому. Резервное копирование данных правильным образом – один из самых эффективных способов. Но есть случаи, когда и резервное копирование не помогает.
Недавно клиника психологической помощи в Европе подверглась хакерской атаке, и 40 тыс. клиентов, доверяющих свою личную жизнь психологам, получили на почту сообщение с требованием выкупа в обмен на сохранение их разговоров в тайне.
Сайты знакомств также взламывают – их посетители получают подобные сообщения с угрозой рассказать обо всем семье жертвы.
Даже если вы заплатите выкуп, никто не гарантирует, что преступники будут следовать вашим моральным ожиданиям. Их цель – получить деньги, и если вы заплатите, что они подумают о вас? Правильно: что можно получать их от вас снова и снова, возможно, даже в больших количествах.
Стоит ли полагаться на киберрасследования
Так же, как и при физическом преступлении, всегда стоит полагаться на профессионалов. Расследование может показать, что вы стали случайной жертвой или на вас охотились конкуренты – разница огромная, так же, как и ваши действия после этого.
Самое главное – не паниковать. Вы не знаете, что делать во время хакерской атаки, но и ваша ИТ команда тоже не имеет ни малейшего понятия. Как только вы узнали о взломе, ищите специалистов по реагированию на киберинциденты, звоните им и беспрекословно выполняйте их указания.
Если ситуация критическая, и вы не можете быстро найти нужных специалистов – просто выключайте оборудование из электрической сети, пока ищете и ждете помощи. Однако, выключив сервера, вы можете потерять важные доказательства, хранящиеся в RAM памяти – имейте это в виду. Но иногда это лучший вариант, чем предоставлять хакерам доступ на все время поиска помощи.
В полицию, в частности, в отдел «К», рекомендую обращаться, только когда совершено серьезное преступление против личности или государства. В этом случае они включат весь свой ресурс в расследование. В других случаях есть вероятность, что ваше оборудование заберут «на доказательства», тем самым приостановив сам бизнес. Кто тогда будет хакером, закрывшим фирму?
Про «безопасность из коробки»
Покупка коммерческого продукта, обещающего «остановить хакерские атаки и предотвратить атаки вирусов-шифровальщиков», является такой же легкой психологически, как покупка чая для похудения, и настолько же эффективной.
За последние 10 лет были взломаны огромные корпорации, сотни тысяч малых и средних компаний, и все они имели огромное количество купленных продуктов для защиты от хакеров. Как-то неловко получается.
Как только случились самые крупные атаки шифровальщиков в мире, вендоры сломя голову кинулись продавать те же продукты, но уже с новым слоганом — «Мы защищаем от шифровальщиков». Однако шифровальщики и не думают уходить с рынка, наоборот, количество атак и их жертв растет в геометрической прогрессии.
Единственный способ защититься от опытных хакеров, проводящих рейды на фирмы, подобные вашей – правильно построенная архитектура защитных мер. У вас есть выбор – строить крепость или клеить наклейку «защищено продуктом Х» на самых ценных активах своей компании.
Прошу понять меня правильно – коммерческие решения могут иметь место в вашей сети. Но их стоит покупать только после построения всех практик и процессов информационной безопасности.
Купив коммерческий продукт по защите от определенного вектора атак, стоит помнить о том, что ни один продукт сам по себе не защищает. Их надо постоянно настраивать в соответствии с новыми методами атак, ими надо ежедневно пользоваться и их надо постоянно тестировать на эффективность.
Для защиты от зловредного кода требуется множество мер, каждая из которых закрывает какой-то процент уязвимости системы. Например, в пакете программ Microsoft Office есть сотни настроек безопасности, то же касается, например, Adobe Reader и других популярных приложений, уязвимостями которых пользуются злоумышленники. Их и нужно защитить первым делом — перед тем, как начать покупать коммерческие решения.
Ваша сеть должна быть настолько хорошо настроена, чтобы можно было выключить антивирус и все равно жить в безопасности. Антивирус должен существовать только чтобы обнаружить, что совсем случайно прошло мимо ваших систем и настроек безопасности, а также чтобы блокировать самые простые атаки.
Опытному хакеру хватит 15 минут, чтобы сделать версию вируса невидимой для всех существующих 67+ антивирусных систем и более 24 часов, чтобы они снова начали обнаруживать этот вирус. Обнаружение неизвестного типа зловредного кода требует времени, потому что антивирусные компании должны о нем узнать, проанализировать, создать «отпечатки», по которым потом его находить. Стоит ли после этого доверять антивирусной системе?
Доверять антивирусу можно только после того, как вы ответили на следующий вопрос без его помощи: какие исполняемые файлы (скрипты, программы) стартовали в последние 24 часа в вашей корпоративной сети, на каких именно компьютерах и когда?
Для ответа на этот вопрос вам надо будет построить систему мониторинга. Лишь видя, что происходит в вашей сети, можно полагаться и на антивирус.
Когда я строил систему защиты АЭС одной из ближневосточных стран, мне дали протестировать ПО Data Leakage Protection, приобретенное ими за миллионы. Я нашел как минимум 20 методов обхода этой системы всего за несколько часов!
Могли же они просто купить эту систему и довериться продавцу, который им обещал заоблачную эффективность?
Помните: эффективная ИБ обеспечивается не «из коробки», а упорной работой команды, которая настраивает продукт и постоянно его тестирует.
Если у вас есть на это бюджет, конечно, стоит покупать коммерческую систему защиты, но как и с любым инструментом, ее надо настраивать, постоянно поддерживать и проверять, то есть учиться с ней работать.
Как повысить безопасность прямо сейчас
Самое главное: включите двухуровневую аутентификацию в корпоративной почте для всех сотрудников.
Имейте в виду, что есть множество технологий и методов защиты служебного почтового сервера путем двухуровневой аутентификации – и многие из них очень легко обойти. Самые эффективные – те, которые рассчитывают на физический токен наподобие флешки (для примера — Yubico — лично я им пользуюсь уже много лет) или на приложение, посылающее запрос пользователю одобрить или не одобрить попытку логина.
Заключение
Научитесь сначала использовать системы с открытым кодом. Например, такие системы, как Velociraptor, предназначены для поиска следов хакеров в сети (threat hunting). Используйте также системы мониторинга сети, например, те, о которых я упомянул выше – Security Onion, Suricata.
Эти системы не совершенны. Их надо изучать. Но внедрив их и научившись их использовать, ваша команда поймет, что надо делать, и, самое главное, зачем.
То же самое касается управления логами и их анализа. Сначала научитесь использовать такие системы, как Graylog2, Wazuh – и только потом переходите на коммерческие системы сбора и анализа логов.
Инциденты информационной безопасности по всему миру случаются очень часто, а компании узнают о взломе лишь по прошествии от полугода до двух лет. Александр Свердлов, международный эксперт по кибербезопасности и генеральный директор Atlant Security, делится информацией, которая может спасти жизнь вашему бизнесу.
Признаки взлома
Если не говорить о все более популярных вирусах-шифровальщиках, именно таргетированная атака, цель которой – украсть данные, получить выгоду и остаться незамеченными, является главным намерением хакеров.
Часто о взломе сообщают сотрудники правоохранительных органов или сторонние организации, в чьи руки попадают сведения об украденных данных. Но даже если этого не произошло, это не значит, что вы не взломаны.
Проверьте вашу компанию по пунктам ниже:
1. Самый главный признак – наличие новых файлов на дисках взломанных систем. После установления доступа к сети хакеры часто приносят туда свои любимые инструменты. Именно по ним можно выявить атаку, если активно их искать. На западе такая практика, она называется threat hunting, или охота на угрозы безопасности.
Можете найти такие признаки с помощью Sysmon, бесплатного инструмента от Microsoft и хорошей системы анализа логов.
2. Наличие данных компании на хакерских («теневых») форумах. Существуют сервисы по поиску корпоративной информации на таких ресурсах. Например, DeHashed, Breach Aware.
3. Аномалии в поведении пользовательских устройств. Они могут проявляться в сетевом трафике, в новых и неизвестных процессах, запущенных на этих устройствах.
Для их выявления компаниям МСБ советую использовать бесплатные инструменты с открытым кодом — Security Onion, Suricata.
Мишени внутри компании
Самая частая атака – взлом почты сотрудников. Это быстро, дешево и предоставляет моментальный доступ к огромному количеству информации, которую данный сотрудник (или директор) когда-либо получал или отправлял. Там могут быть пароли, конфиденциальная информация, документы и многое другое, что хакеры потом используют для расширения своего доступа и получения выгоды.
Если говорить о сотрудниках — все являются мишенями, поголовно. В малых и средних компаниях самые интересные цели для хакеров — бухгалтеры и ассистенты директоров. Первые, потому что взломав их учетную запись можно получить данные о финансовых потоках, манипулировать документами, отправленными по почте – например, заменить банковские реквизиты.
В компаниях покрупнее интересными становятся отделы передовых разработок и ИТ-отдел, так как имея доступ к администратору, хакер получает доступ ко всем ресурсам компании.
В бизнесе, как и на войне, часто играют без правил. Если у противника есть слабость, многие, скорее всего, воспользуются ею. Стратегические планы компании, сведения о ценах, поставщиках, клиентах – все это можно получить, всего лишь заплатив за доступ к почте директора компании. Если вы просто ради эксперимента наберете в любом поисковике «взлом почты на заказ», узнаете насколько популярна эта услуга у бизнеса, криминала и даже домохозяек.
Поэтому стоит озаботиться, в первую очередь, защитой именно тех ресурсов, которые легче всего взломать и которые более всего популярны у злоумышленников.
Почему не надо платить выкуп
Надо постараться сделать так, чтобы когда придет письмо о выкупе, компания была готова к этому. Резервное копирование данных правильным образом – один из самых эффективных способов. Но есть случаи, когда и резервное копирование не помогает.
Недавно клиника психологической помощи в Европе подверглась хакерской атаке, и 40 тыс. клиентов, доверяющих свою личную жизнь психологам, получили на почту сообщение с требованием выкупа в обмен на сохранение их разговоров в тайне.
Сайты знакомств также взламывают – их посетители получают подобные сообщения с угрозой рассказать обо всем семье жертвы.
Стоит ли полагаться на киберрасследования
Так же, как и при физическом преступлении, всегда стоит полагаться на профессионалов. Расследование может показать, что вы стали случайной жертвой или на вас охотились конкуренты – разница огромная, так же, как и ваши действия после этого.
Если ситуация критическая, и вы не можете быстро найти нужных специалистов – просто выключайте оборудование из электрической сети, пока ищете и ждете помощи. Однако, выключив сервера, вы можете потерять важные доказательства, хранящиеся в RAM памяти – имейте это в виду. Но иногда это лучший вариант, чем предоставлять хакерам доступ на все время поиска помощи.
В полицию, в частности, в отдел «К», рекомендую обращаться, только когда совершено серьезное преступление против личности или государства. В этом случае они включат весь свой ресурс в расследование. В других случаях есть вероятность, что ваше оборудование заберут «на доказательства», тем самым приостановив сам бизнес. Кто тогда будет хакером, закрывшим фирму?
Про «безопасность из коробки»
Покупка коммерческого продукта, обещающего «остановить хакерские атаки и предотвратить атаки вирусов-шифровальщиков», является такой же легкой психологически, как покупка чая для похудения, и настолько же эффективной.
За последние 10 лет были взломаны огромные корпорации, сотни тысяч малых и средних компаний, и все они имели огромное количество купленных продуктов для защиты от хакеров. Как-то неловко получается.
Как только случились самые крупные атаки шифровальщиков в мире, вендоры сломя голову кинулись продавать те же продукты, но уже с новым слоганом — «Мы защищаем от шифровальщиков». Однако шифровальщики и не думают уходить с рынка, наоборот, количество атак и их жертв растет в геометрической прогрессии.
Единственный способ защититься от опытных хакеров, проводящих рейды на фирмы, подобные вашей – правильно построенная архитектура защитных мер. У вас есть выбор – строить крепость или клеить наклейку «защищено продуктом Х» на самых ценных активах своей компании.
Прошу понять меня правильно – коммерческие решения могут иметь место в вашей сети. Но их стоит покупать только после построения всех практик и процессов информационной безопасности.
Для защиты от зловредного кода требуется множество мер, каждая из которых закрывает какой-то процент уязвимости системы. Например, в пакете программ Microsoft Office есть сотни настроек безопасности, то же касается, например, Adobe Reader и других популярных приложений, уязвимостями которых пользуются злоумышленники. Их и нужно защитить первым делом — перед тем, как начать покупать коммерческие решения.
Ваша сеть должна быть настолько хорошо настроена, чтобы можно было выключить антивирус и все равно жить в безопасности. Антивирус должен существовать только чтобы обнаружить, что совсем случайно прошло мимо ваших систем и настроек безопасности, а также чтобы блокировать самые простые атаки.
Опытному хакеру хватит 15 минут, чтобы сделать версию вируса невидимой для всех существующих 67+ антивирусных систем и более 24 часов, чтобы они снова начали обнаруживать этот вирус. Обнаружение неизвестного типа зловредного кода требует времени, потому что антивирусные компании должны о нем узнать, проанализировать, создать «отпечатки», по которым потом его находить. Стоит ли после этого доверять антивирусной системе?
Для ответа на этот вопрос вам надо будет построить систему мониторинга. Лишь видя, что происходит в вашей сети, можно полагаться и на антивирус.
Когда я строил систему защиты АЭС одной из ближневосточных стран, мне дали протестировать ПО Data Leakage Protection, приобретенное ими за миллионы. Я нашел как минимум 20 методов обхода этой системы всего за несколько часов!
Могли же они просто купить эту систему и довериться продавцу, который им обещал заоблачную эффективность?
Помните: эффективная ИБ обеспечивается не «из коробки», а упорной работой команды, которая настраивает продукт и постоянно его тестирует.
Если у вас есть на это бюджет, конечно, стоит покупать коммерческую систему защиты, но как и с любым инструментом, ее надо настраивать, постоянно поддерживать и проверять, то есть учиться с ней работать.
Как повысить безопасность прямо сейчас
Самое главное: включите двухуровневую аутентификацию в корпоративной почте для всех сотрудников.
Имейте в виду, что есть множество технологий и методов защиты служебного почтового сервера путем двухуровневой аутентификации – и многие из них очень легко обойти. Самые эффективные – те, которые рассчитывают на физический токен наподобие флешки (для примера — Yubico — лично я им пользуюсь уже много лет) или на приложение, посылающее запрос пользователю одобрить или не одобрить попытку логина.
Заключение
Научитесь сначала использовать системы с открытым кодом. Например, такие системы, как Velociraptor, предназначены для поиска следов хакеров в сети (threat hunting). Используйте также системы мониторинга сети, например, те, о которых я упомянул выше – Security Onion, Suricata.
Эти системы не совершенны. Их надо изучать. Но внедрив их и научившись их использовать, ваша команда поймет, что надо делать, и, самое главное, зачем.
То же самое касается управления логами и их анализа. Сначала научитесь использовать такие системы, как Graylog2, Wazuh – и только потом переходите на коммерческие системы сбора и анализа логов.