Самые популярные и типичные кибератаки

Аналогии с миром прошлого можно проводить почти бесконечно: сейф — зашифрованные на диске данные; бухгалтерская книга — финансовый отчет в базе данных на том же диске; журнал посещений — снова база данных, но уже не с деньгами, а с ФИО и другим набором персональных данных. И не нужно копаться в бумажках в поисках связей: компьютеризованная система сделает это автоматически за вас.

И когда от одних требуется сохранить данные, другие желают украсть их. Преступный мир адаптируется под новые условия, теперь «заработать» можно, не вламываясь в «богатый дом», а подобрав «ключ» к ИТ-инфраструктуре.

Заместитель генерального директора по безопасности, режиму и кадрам МТС Кирилл Мытько привел список наиболее распространенных кибератак, от которых страдает или может пострадать белорусский бизнес:

• фишинг, бизнес-компрометация электронной почты (BEC);
• вредоносные вложения, макросы, ransomware (шифровальщики);
• атаки на удаленные сервисы (RDP, VPN) через утечку или слабые пароли;
• социальная инженерия (звонки/почта от «партнера» или «банка»);
• таргетированные APT-атаки с использованием эксплойтов «нулевого дня»;
• атаки на цепочку поставок.

По словам эксперта, цели атак могут отличаться: банальная финансовая или иная выгода, желание «заработать баллов», когда речь о так называемых хактивистах, паралич информационной системы — и так до бесконечности. В зависимости от преступных замыслов отличается инструментарий, хотя «обычного» юзера и бизнес могут атаковать одинаковыми способами: вопрос скорее в масштабах, в том числе последствий.

Про «обычные» мы наслышаны. Фишинг и бизнес-компрометация электронной почты — это создание поддельных сайтов и сообщений электронной почты для сбора конфиденциальных данных: имени пользователя, паролей, данных банковских карт, платежной информации и так далее. Рядышком стоят вредоносные вложения, которые обычно распространяются через все те же поддельные сайты и письма: остается только перейти по ссылке или запустить вложенный файл (не надо этого делать!). Дальше — снова доступ к информации или ресурсам.

Еще из «простого» — социальная инженерия, которая может включать в себя два перечисленных типа выше, однако в таких атаках обычно участвуют живые люди — через переписку в мессенджерах или даже звонки по телефону. Об этом можно прочитать в другом нашем материале.

Чуть отдельно за счет повышенной «технологичности» стоят атаки на удаленные сервисы — это и DDoS-атаки, и SQL-инъекции в слабо защищенные системы, подбор паролей для удаленного доступа. Простейший пример: злоумышленник звонит вам в мессенджер, «включает» навык социальной инженерии и просит под каким-то предлогом установить «специальное ПО». Вы ставите, а он получает доступ к вашему смартфону и всем приложениям на нем, в том числе банковским.

Таргетированные APT-атаки — это сложные, растянутые во времени и потому тщательно скрытые кибератаки, к тому же ориентированные на конкретную цель — организацию или бизнес, а не всех, «кто попадется под руку». Они подразумевают постепенное проникновение в ИТ-инфраструктуру, поиск уязвимостей, установку вредоносных модулей и компрометацию данных.

Также в последнее время все чаще говорят об атаках на цепочку поставок (такая может входить в «состав» APT-атак). «Это, наверное, один из самых серьезных и продвинутых типов атак на сегодняшний день», — говорит эксперт.

В качестве иллюстрации он приводит условную крупную компанию, которая создает собственную систему безопасности: устойчивую и как будто без изъянов. «Но у нее — сотни контрагентов. И эти контрагенты тоже имеют какие-то права, чтобы получать доступ ко внутренней сети — это необходимо для работы. Однако не все из них могут обеспечить свою безопасность на необходимом уровне».

Таким образом, атака на основную цель может быть реализована через сторонние организации, которые не обеспечивают должный уровень безопасности. Трудился, например, в «сторонней компании» сотрудник, аккаунт которого имеет высокий уровень доступа. Он ушел из проекта, а учетная запись осталась активной. Пароль от нее утек «налево», а злоумышленники, которые из открытых источников знают, что контрагент работает на их цель, используют полученную информацию. Вначале для доступа в сеть подрядчика, а оттуда — в сеть цели. Это упрощенное описание — чтобы примерно понять процесс проникновения.

«Вопрос должен стоять не только в том, как это произойдет, а когда: мы все в той или иной степени находимся под ударом. И если вы не видите присутствия злоумышленников внутри, это не значит, что их там нет: это парадокс, связанный с кибербезопасностью. Когда мы слышим о проведенных атаках, злоумышленники сами заявляют, что они долгое время находились внутри: изучали систему безопасности, в целом структуру. Получали то, что нужно, и заметали за собой следы».

Эксперт подчеркивает: это не значит, что в каждой ИТ-инфраструктуре «кто-то наверняка уже есть», однако должен работать принцип «нулевого доверия» — «Доверяй, но проверяй», причем постоянно.

Самое слабое звено

С этой точки зрения ничего не меняется: самым слабым звеном остается человек. Или скорее человеческий фактор, так как ответственность за появление дыры в безопасности не всегда можно (и стоит) возлагать на конкретную персону.

Эксперт приводит несколько базовых причин, по которым возможны атаки:

• человеческий фактор: невнимательность сотрудников, отсутствие тренингов;
• технические пробелы: неактуальные пароли, слабая сетевая безопасность, необновленное ПО;
• недостаток внутренней политики и процедур безопасности.

Почему удается, например, фишинговая атака? Потому что пришло письмо от незнакомой организации, да хоть и якобы знакомой: требуют срочно ответить. Дальше: открываешь письмо — и процесс пошел.

Это, говорит наш собеседник, отчасти проблема отсутствия знаний: например, сотрудника слабо подготовили. Плюс работает эмоциональный аспект за счет социальной инженерии, которую мошенники хорошо знают и используют.

С технической стороны атака может случиться из-за устаревшего ПО: «Обновление не провели в силу ряда причин. Кто-то недоглядел, нет денег или еще что-то».

Кирилл Мытько отмечает, что киберпреступность — это огромный бизнес с разделением труда и развитым рынком.

«Есть те, кто непосредственно организовывает доступ. Одна группировка может продавать его другой хакерской группе, которая, проникнув через подготовленное „окно“, добудет нужную информацию для дальнейшей продажи. А первая будет получать комиссию с продажи. Все перешло в цифру: раньше занимались „гоп-стопом“, а теперь стали кибермошенниками», — иронизирует наш эксперт.

Данные о пользователях (как «обычных», так и о компаниях) собираются по разным каналам, аккумулируются и выставляются на продажу. Где-то утекла в сеть база данных с именами и номерами телефонов, где-то — с адресами. Владея частью данных, злоумышленники могут добыть недостающие фрагменты: позвонить, написать, заставить перейти по ссылке. В том числе так и появляются поддельные директора, правоохранители и представители операторов связи, знающие о вас немного — до момента, пока вы сами не расскажете им остальное. Из-за человеческой слабости и неосведомленности.

100%-й защиты нет, но...

Полностью обезопасить себя невозможно. Задача, говорит эксперт, — снизить риски.

«Правило „предупрежден — значит вооружен“ работает. Конечно, мы все используем интернет, все используем компьютер, потому иметь какие-то базовые представления цифровой гигиены необходимо».

Базовые шаги для защиты:

• тренинг сотрудников;
• технологические средства защиты;
• сценарии реагирования и резервирования.

В «облегченной» версии это работает и для обычного человека: быть информированным. Для бизнеса — чуть сложнее именно за счет ответственности и внутренней культуры отношения к информации в любых ее проявлениях.

«Когда вы подходите к проезжей части, вы смотрите налево, потом направо. У людей должен быть такой же рефлекс, но в отношении цифровой безопасности на уровне корпоративной культуры. Если она существует, большинство работников старается ей соответствовать: потому что, если не соответствуешь, оказываешься белой вороной», — приводит аналогию эксперт.

И еще важный момент: в компании, пусть самой небольшой, но которая оперирует данными, должен быть ответственный человек, который и будет идти по списку: «Если у вас нет своей команды реагирования — вы маленькая компания, то это могут быть администратор, „айтишник“, который будет заниматься этой проблемой». В других случаях, видимо, потребуется аутсорс функций «безопасников». Или отказ от работы с требующими защиты данными и системами.

Каждый шаг должен фиксироваться. Непростой задачей может оказаться и поиск «точки входа», особенно если речь идет об упоминавшихся выше APT-атаках или атаках на цепочку поставок.

«Нужно понять, что именно „утекло“, что могло „уйти“, попытаться оценить ущерб. Также есть законодательные требования на случай, если вы владеете персональными данными: в течение трех суток требуется сообщить об инциденте. Если компания входит в перечень Указа Президента Республики Беларусь № 40, является объектом системы обеспечения кибербезопасности страны, необходимо также проинформировать регулятора».

Последствия неисполнения требования могут оказаться болезненными, особенно когда дело касается персональных данных:

• проверки регуляторов, штрафы (особенно при утечке персональных данных);
• гражданская ответственность перед пострадавшими;
• возможные уголовные и административные последствия.

«Рецепт» защиты

Некоторые его «ингредиенты» упоминались выше: информированность и «нулевое доверие». Кирилл Мытько перечисляет несколько дополнительных: регулярное обновление и резервирование систем, контроль доступа и базовые политики безопасности. Когда нет собственных ресурсов или экспертизы, речь идет о внедрении сложных аппаратно-программных решений и ИБ-инфраструктур, проведении аудитов, пентестов и расследовании инцидентов.

Эксперт подчеркивает: это надо сделать не вчера, а позавчера. Просто потому, что злоумышленники стараются идти на шаг впереди, а потери в случае экономии на защите будут значительно выше.

«Люди — и руководители в частности — должны понимать, что будет ответственность. Часто владельцы компаний не представляют тот уровень последствий, который может наступить в случае успешной хакерской атаки. Есть такая хорошая поговорка: пока гром не грянет, мужик не перекрестится. Так теперь не работает, как и оправдания „нам просто не повезло“».

Спецпроект подготовлен при поддержке ООО «ЭфСиБи Бел», УНП 193185741.

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onlíner без разрешения редакции запрещена. ga@onliner.by