Недавняя кибератака на украинские государственные вебсайты напугала многих владельцев бизнеса не только в Украине, но и за рубежом. Разрушительное злоумышленное программное обеспечение, замаскированное под програму-вымогатель, было выявлено в системах, которые принадлежат десяткам украинских государственных учреждений и организаций, которые тесно сотрудничают с украинским правительством. Эти агентства и организации обеспечивают критические функции исполнительной власти и реагирования на чрезвычайные ситуации, и включают ІТ-компанию, которая управляет вебсайтами для клиентов из государственного и частного секторов.
Пока команда реагирования на чрезвычайные ситуации обрабатывает терабайты собранной информации, проводит расследование и пытается выяснить, кто стоял за этим нападением и какие следующие шаги могут предпринять противники, для украинских компаний наступает время задуматься - что нужно делать, чтобы защититься от подобных нападений? Достаточный ли уровень защиты компаний, чтобы противостоять другим кибератакам, а в случае внешнего вмешательства - вычистить ІТ-инфраструктуру от злоумышленников в кратчайшее время и возобновить операционные процессы?
"Поверхность" внешних атак быстро растет из-за трех распространенных факторов: растет количество ІТ-соединений с третьими сторонами - партнерами, поставщиками, сервисными организациями - именно этот путь использовали злоумышленники, чтобы атаковать украинские сайты. Также увеличивается разнообразие технических устройств и растет популярность использования общедоступной облачной инфраструктуры. Две трети организаций признают, что они испытали по крайней мере одну кибератаку, которая началась с использования неизвестного, неуправляемого или плохо управляемого ресурса, доступного через интернет.
Программы управления уязвимостями ІТ-инфраструктуры являются постоянным вызовом для специалистов по безопасности среди которых необходимость реагировать на большой объем открытых уязвимостей, слабый уровень автоматизации процесса выявления уязвимостей, определение приоритетов и уменьшение их последствий, использование разных инструментов управления уязвимостями. Невзирая на годы попыток, много организаций до сих пор не понимают, как наладить процесс управления уязвимостями.
Например, IT- компании, которые оказывают услуги по кибербезопасности, настойчиво рекомендуют всем организациям для начала немедленно провести тщательную диагностику уровня своей информационной безопасности и внедрить необходимые защитные механизмы.
Начните с кибергигиены
Невзирая на то, что кибербезопасность является сложной и многогранной, международные учебные центры (SANS, ISC2, ISACA и другие), государственные и отраслевые регуляторы (GDPR, PCI DSS и тому подобное) и передовые практики рекомендуют начинать с гигиены кибербезопасности и управления ее состоянием. Эксперты соглашаются, что надежная кибербезопасность начинается с основ, таких как понимание всех развернутых ІТ-активов, установления безопасных конфигураций в системах, мониторинга отклонений от этих безопасных конфигураций, приоритизации действий по устранению уязвимостей на основе оценки риска и проверки того, что все элементы вашей инфраструктуры безопасности и процессы работают корректно.
Гигиена безопасности и управления ее состоянием остаются незрелыми - большинство организаций используют больше десяти инструментов управления информационной безопасностью, которая приводит к операционным расходам, несоответствию данных, жонглирования ответственностью и человеческих ошибок. Приблизительно три из четырех организаций признают, что электронные таблицы остаются ключевым инструментом управления, которое приводит к ряду проблем с самого начала.
Управление информационными активами зависит от инструментов, процессов и совместной работы между подразделениями организации. Невозможно управлять тем, что невозможно измерить, потому управление активами и процессами безопасности остается случайным и ситуативным. Организации обычно используют большое количество разрозненных систем инвентаризации ІТ-активов, тратят человеческие ресурсы для создания единой таблицы по инвентаризации и вынуждены повторять эти упражнения каждые несколько месяцев. Это приводит к многочисленным проблемам из-за наличия противоречивых данных и необходимости успевать за изменениями в информационных системах.
Новые условия работы требуют изменения корпоративных политик
COVID-19 повлиял на все аспекты личной и профессиональной жизни, и привел к изменениям в подходах к безопасности организаций. Сейчас миллионы работников получают доступ к корпоративным сетям или облачным ресурсам через домашний Wi-Fi, ІТ-специалисти устраняют неисправности критически важных систем с помощью удаленного доступа, меняются и диджитализируются цепи потавки. Большое количество сотрудников остается дома, общаясь с коллегами с помощью программного обеспечения для телеконференций и видеоконференций, и атаки на эти службы останутся проблемой. Атаки программ-вымогателей не имеют признаков замедления. Теперь организациям придется иметь дело со своими сотрудниками, которые выполняют много как рабочих, так и личных дел одновременно с нескольких устройств в среде, которая может быть недостаточно защищенной.
Организациям нужно принять официальные корпоративные политики и процедуры, которые сотрудники должны соблюдать, - так организациям будет проще бороться с типичными угрозами, как например, попытки подключить сеанс, чтобы подслушивать разговоры и пересматривать презентации, которые могут содержать конфиденциальную информацию. Я рекомендую организациям производить такие несложные действия, как проверка и очистка списков приглашений, защита паролем видеоконференций, рассылка паролей отдельно от приглашения на встречу, допуск участников вручную модератором и блокирование встречи после ее начала.
Также организациям надо сделать фокус на обучение и тренинги для всех сотрудников для предотвращения фишинговых атак, которые чаще всего приводят к взлому внутренних систем или конфиденциальных данных.
Внедрение модели безопасности с нулевым доверием обеспечит защиту удаленных работников, гибридной облачной среды и снизит риски угрозы программ-вымогателей. Построение безопасности с принципом нулевого доверия требует, чтобы все пользователи, как в сети организации, так и за ее пределами, проходили аутентификацию, авторизацию и постоянную проверку конфигурации и состояния безопасности, прежде чем получить или сохранить доступ к программам и данным.
Чувствительные зоны для злоумышленников: на что обращать внимание
Среди украинских компаний использование цифровой подписи становится все популярнее, но это открывает путь к так называемым атакам по компрометации деловой электронной почты (КДЭП). ФБР определяет 5 основных типов мошенничества КДЭП:
Мошенничество от имени генерального директора: злоумышленники представляются генеральным директором или руководителем компании и обычно направляют электронное письмо лицу в финансовый отдел с просьбой перевести средства на счет, который контролирует злоумышленник.
Компрометация учетной записи: учетная запись электронной почты сотрудника взломана и используется для запроса платежей поставщикам. Потом платежи отправляются на мошеннические банковские счета, которые принадлежат злоумышленнику. Схема фальшивых счетов-фактур: с помощью этой тактики злоумышленники обычно нацеливают на иностранных поставщиков. Мошенник действует так, будто он является поставщиком и требует перевода средств на мошеннические счета.
Представлять себя за адвоката или государственного служащего: злоумышленник выдает себя за адвоката или налогового инспектора. Сотрудники низшего уровня обычно становятся мишенью из-за таких типов атак, когда не хватает опыта, чтобы поставить под сомнение подлинность запроса.
Кража данных: эти типы атак, как правило, направлены на сотрудников отдела кадров, чтобы получить личную или конфиденциальную информацию о лицах в компании, таких как генеральные директора и руководители. Эти данные потом могут быть использованы для будущих атак, таких как мошенничество, нацеленное на генеральных директоров или совершается от их имени.
Научите ваших сотрудников искать признаки того, что электронное письмо может быть ненастоящим, или подделанным. Например, если:
Руководители высокого уровня просят предоставить необычную информацию: например, налоговую информацию или персональные данные отдельных сотрудников. Для подчиненных естественно быстро ответить на такое электронное письмо, но стоит сделать паузу и задуматься, имеет ли смысл такой запрос. Лучше всего сотруднику, которому поступило такое письмо, переспросить у своего руководителя о целесообразности такого запроса.
Просьба не общаться с другими: электронные письма злоумышленников часто содержат просьбу к получателю хранить конфиденциальность запроса или общаться с отправителем только по электронной почте.
Запросы, которые обходят обычные каналы: большинство организаций имеют системы учета, с помощью которых должны обрабатываться счета и платежи, независимо от того, насколько срочный запрос. Когда эти каналы обходятся электронной почтой непосредственно от руководителя с просьбой, например, провести срочный банковский перевод как можно быстрее, сотруднику стоит с подозрением отнестись к этому запросу.
Стилистика текста листа и необычные форматы дат: некоторые письма приманивают безукоризненной грамматикой, однако человеку присуще делать ошибки Также наличие нестандартных форматов даты (например, месяц день год) или такая стилистика электронного письма, который указывает на возможное написание письма не носителем языка, являются частыми признаками кмбератак.
Домены электронной почты и адреса "Ответить" не совпадают с адресами отправителя: в электронных письмах от злоумышленников адреса отправителей часто подделываются таким образом, что их трудно отличить от настоящих, потому их легко пропустить, например companyMame.com вместо companyname.com.
Цепь поставок организации - еще одна чувствительная зона организации и потенциальная мишень для злоумышленников. Цепь поставок в компании крепка лишь настолько, насколько крепко его самое слабое звено, и именно так хакеры преследуют наиболее привлекательные цели. Я рекомендую организациям обращать особое внимание на третьих сторон, партнеров, подрядчиков, поставщиков управляемых услуг и поставщиков облачных услуг. Настаивайте на том, чтобы эти организации продемонстрировали, что их методы безопасности являются надежными, и постоянно проверяйте, придерживаются ли эти организации своей политики безопасности.
Простые шаги управления информационной безопасностью - с чего начать
Я рекомендую даже небольшим компаниям взять на вооружение риск-ориентированный подход и внедрить систему управления информационной безопасностью (СУИБ), и особенно стартапам, которые массово растут. Намного легче построить процессы с самого начала развития организации, чем срочно менять процессы, когда случился инцидент, а интеллектуальная собственность была утеряна. Существует несколько стандартов (ISO27001, NIST, CSA, ISF, PCI и другие), которые можно выучить самостоятельно или привлечь посторонних консультантов для внедрения. Основные шаги, на которым следует уделить наибольшее внимание:
Получить поддержку руководства для обеспечения достаточного количества людей для работы над проектом, и определение бюджета для внедрения необходимых изменений.
Дальше, определить область применения. Для больших организаций, вероятно, имеет смысл внедрить систему управления информационной безопасностью (СУИБ) только в некоторых, наиболее критических, частях вашей организации, которая значительно снизит риск проекта.
Однако, если в компании менее 50 сотрудников, вероятно, будет легче включить всю компанию в сферу действия. Также нужно создать политику информационной безопасности, определить методологию оценки рисков, выполнить оценку рисков и решить, как смягчить выявленные зоны риска.
Напоследок, нужно уметь управлять СУИБ, контролировать огромное количество показателей эффективности и ввести принципы постоянного улучшения.
Существует мнение, что стратегическое планирование больше не является практическим или необходимым в современной технической среде, когда цифровой мир быстро меняется. Однако стратегия все еще остается важной частью определения четких целей компании и способов их достижения. Четкий и сжатый стратегический план безопасности позволяет правлению, руководству и сотрудникам видеть, что от них ожидается, сосредоточить свои усилия в правильном направлении и знать, когда они достигли своих целей. К сожалению, во многих организациях или отсутствует стратегический план информационной безопасности, или он по крайней мере потерял актуальность. Стратегический план информационной безопасности может направлять организацию на смягчение, передачу, принятие или избежание информационного риска, связанного с людьми, процессами и технологиями. Преимущества для бизнеса от создания и соблюдения эффективного стратегического плана информационной безопасности являются значительными и могут повысить конкурентную возможность. Это может включать соблюдение отраслевых стандартов, избежания вредных инцидентов безопасности, поддержания репутации бизнеса и поддержку обязательств перед акционерами, клиентами, партнерами и поставщиками. План должен содержать перечень результатов и контрольных показателей для инициатив, включая назначение ответственных лиц.
Информационная безопасность - это путешествие, а не пункт назначения. Выполнение стратегического плана безопасности является критическим фактором успеха для организаций, которые действительно хотят максимизировать свою способность управлять информационными рисками. Информационная безопасность должна рассматриваться как дополнительная ценность к процессам стратегического планирования, сосредоточиваясь на том, как стратегия может помочь бизнесу добиться успеха
Геннадий Резниченко, заместитель директора практики по предоставлению консультационных услуг в сфере IT и кибербезопасности KPMG в Украине
Где специалисту по безопасности искать правовые методы защиты компании? Алгоритмы действий при проверках госорганов и ситуации для бизнеса доступны в решении LIGA360. Закажите доступ к системе прямо сегодня.