Кибератака — это попытка вторжения в информационную сеть со стороны хакера или вредоносной программы с целью нарушить работу системы и/или получить выгоду.
Ежегодный рост киберпреступности свидетельствует о том, что объектами хакерских атак все чаще становятся корпоративные сети. Злоумышленники либо напрямую вымогают деньги у пострадавшей стороны, либо являются наемниками недоброжелателей (нередко конкурентов) и преследуют цель нарушить работу организации.
Все чаще внимание хакеров привлекает малый и средний бизнес. Это связано с тем, что они не всегда могут позволить себе серьезную IT-безопасность. А значит, сотрудники становятся потенциальной целью и «слабым местом» в цифровой обороне компаний. Особенно это стало заметно в 2020 году, когда распространение новой короновирусной инфекции стало толчком для ухода в интернет.
Основные виды кибератак
Специалисты выделяют пять основных видов кибератак: программы-вымогатели, фишинг, целевые киберугрозы, DDoS-атаки и внутренние угрозы, связанные с ошибками персонала или деятельностью инсайдеров. Рассмотрим каждый из них подробно.
Программы-вымогатели
Эти программы являются одними из первых появившихся киберугроз. Попадая в систему жертвы, программы-вымогатели блокируют ее работу (или работу отдельных компонентов). Могут одномоментно выводить из строя большое количество компьютеров организации или пересылать злоумышленникам данные с жесткого диска пострадавшей стороны. Для восстановления доступа к системе, чаще всего, жертве предлагается заплатить выкуп.
В прежние годы стремились заразить вредоносным ПО как можно больше пользователей, но сегодня стратегия изменилась. Все чаще атаки совершаются в конкретных отраслях с учетом уязвимых мест. Согласно статистике, жертвами программ-вымогателей чаще других становятся правительственные, образовательные и технологические организации, а также интернет-провайдеры и телекоммуникационные компании.
Фишинг
Свое название атака получила от английского слова fishing — рыбалка. Подобно рыбаку хакер готовит приманку, способную заинтересовать пользователя. Чаще всего приманкой становится электронное письмо, включающее вложение с исполняемым файлом или ссылкой на таковой. Пользователь открывает файл, и вредоносная программа начинает свою разрушительную деятельность.
Опасность этой атаки заключается в том, что она базируется на психологическом факторе. Человека обмануть проще, чем компьютер. К примеру, в последний год все больше людей пользуются службой доставки, и злоумышленники, зная это, часто отправляют письма с киберугрозой в виде рассылки от курьеров. Если человек ожидает доставку, то, вероятнее всего, он откроет письмо и вложение.
Однако современные средства защиты способны вырезать из пересылаемых файлов зараженное содержимое, а также останавливать процесс открытия ссылок, если фиксируют процесс атаки, поэтому не стоит пренебрегать предупреждениями системы.
Целевые киберугрозы
Целевая кибератака — это продуманная, хорошо подготовленная атака на конкретную компанию. Первоначально злоумышленники тщательно подбирают механизм внедрения в корпоративную сеть. Это может быть и письмо, адресованное конкретному сотруднику и учитывающее его интересы, и визит в компанию под видом курьера. Вариантов множество, цель одна — установка вредоносного ПО на корпоративном компьютере. После такого «внедрения» следует похищение информации и уничтожение улик.
Схема достаточно сложная, но это не говорит о том, что ее жертвами могут быть только крупные международные корпорации. Нередко злоумышленников интересуют стартапы с новыми перспективными разработками. И отразить такую атаку непросто. Чтобы свести к минимуму возможность проникновения злоумышленников в вашу компанию, стоит строго придерживаться четкого распределения прав доступа между пользователями.
DDoS-атаки
Эта атака представляет собой выведение из строя той или иной вычислительной техники посредством огромного количества единовременных обращений. Чаще всего жертвой такой атаки становятся серверы, ресурс которых всегда ограничен.
DDoS-атаки наиболее опасны для компаний, работа которых связана с интернетом, в том числе и для операторов связи. Осуществляется атака хакерами, которые предварительно создают сеть ботов и предлагают свои услуги желающим. Такая «услуга» стоит не дешево, поэтому атаки обычно непродолжительны. Однако в некоторых случаях достаточно на пару часов вывести из строя, скажем, сайт конкурента и преимущество останется за вами.
Чтобы отразить DDoS-атаку, необходимо обеспечить компанию резервными мощностями, а также применять DDoS-фильтры. Их функция в том, чтобы распознавать обращения, инициированные ботами, и отсекать их, не допуская расходования ресурсных мощностей.
Внутренние угрозы
Этот вид кибератаки наиболее сложен для предотвращения. Причина в том, что информационная безопасность ориентирована на профилактику внешних угроз. А инсайдер — сотрудник компании, которому доверяют. Он имеет доступ к данным и ресурсам, свободно перемещается и может обмениваться информацией.
Защиту от внутренних угроз IT-направление должно осуществлять совместно со службой безопасности. Инсайдерские угрозы могут быть связаны как преднамеренными действиями, так и с банальной ошибкой. Поэтому целесообразно для защиты от подобных угроз разработать и внедрить в компании регламенты работы, разграничить права пользователей, а также наладить систему идентификации и авторизации. Хорошо проявляет себя принцип минимальной достаточности: сотруднику предоставляются только те права, которые требуются для прямого выполнения его функций, не более.
Также против внутренних угроз хорошо работают программы искусственного интеллекта, которые анализируют активность пользователя. Если сотрудник отклоняется от заданной схемы, об этом оперативно информируется служба безопасности.
Самые заметные кибератаки 2020–2021 годов
Zoom
В 2020-м из-за пандемии коронавируса резко возросло количество людей, работающих на дому. Это обусловило резкий рост встреч и конференций в режиме онлайн. А площадкой для этого стал малоизвестный ранее сервис Zoom.
Резкий рост интереса к ней не остался незамеченным и для киберпреступников. Низкий уровень безопасности Zoom позволил злоумышленникам получить учетные данные от более чем 500 тысяч аккаунтов. Таким образом, хакеры могли получить доступ к важным корпоративным сведениям, озвучиваемым на конференциях.
PickPoint
4 декабря 2020 года была совершена кибератака на сервис доставки PickPoint. Злоумышленники нанесли удар по провайдерам, обеспечивающим вход в сеть для постаматов. В результате более 2700 постаматов открыли дверцы. На тот момент в ячейках находилось более 49 тысяч заказов на сумму порядка 150 миллионов рублей.
Представители компании заявили, что это первая подобная атака в России, безусловно, детально спланированная. Из-за сбоя PickPoint из ячеек исчезло порядка одной тысячи заказов, и, конечно, это не укрылось от внимания клиентов. Однако основной удар пришелся по имиджу компании и, вероятнее всего, был спланирован конкурентами.
JBS S.A
Крупнейший производитель мяса в США JBS S.A понес невероятные убытки из-за кибератаки, произошедшей 31 мая 2021 года. По данным компании Bloomberg, в результате атаки пятая часть всех производств компании оказалась выведена из строя и группе компаний пришлось полностью остановить работу, отменить смены на три дня. Самые крупные потери понес канадский филиал, который перерабатывает до 4 тысяч голов скота в день. Данный инцидент произвел резонанс и обсуждался на уровне государства. В Белом доме заявили, что за кибератакой стоят хакеры из России и по этому вопросу администрация Байдена контактировала с российскими дипломатами.
Acer
На сегодняшний день этот инцидент является одной из самых известных атак по уровню запрашиваемого выкупа — 50 миллионов долларов США. В первом квартале 2021 года производитель компьютеров Acer подвергся взлому с помощью программы-вымогателя, которая заблокировала внутренние системы и украла часть банковской финансовой информации. Для подтверждения серьезности своих намерений хакеры отправили изображения документов, которые им удалось украсть.
Удаленка: новый формат — новые риски
С ростом числа зараженных новой коронавирусной инфекцией уже в апреле многие компании перевели персонал на удаленку. Это значит, что сотрудники — обычные люди — начали использовать для работы личные ПК и мобильные устройства. Эти системы более уязвимы уже потому, что на них установлено много сопутствующего программного обеспечения. И, как следствие, количество кибератак начало расти, и бизнес столкнулся с новой волной киберугроз.
Методы злоумышленников не изменились, но схемы были адаптированы к новым реалиям. Давайте обсудим «слабые места» при работе из дома.
Системы коммуникации
Работая дома, нельзя заглянуть в соседний кабинет и уточнить что-то у коллеги, также не получится провести планерку в привычном режиме «лицом к лицу». Теперь нужно звонить, писать, собирать онлайн-конференцию. И как раз приложения для общения могу стать удобным местом для атаки.
Skype, Microsoft Teams, Zoom стали очень востребованы в 2020 году, но они достаточно уязвимы. Выше я рассказывал об атаках на сервис Zoom. Разработчики заявили, что «слабые места» устранены, однако не стоит забывать об изобретательности киберпреступников.
Социальные атаки в мессенджерах
Многие бывшие офисные сотрудники, начав работать в домашней обстановке, оказываются сбиты с толку. Они привыкли в случае любых сетевых неполадок или прочих проблем с оргтехникой обращаться за помощью к IT-специалистам. Хакеры это понимают и нередко пользуются. Они обращаются к пользователям через Telegram или другие сервисы, представляясь специалистами техподдержки, службы безопасности и так далее. Легковерные люди в результате такого общения могут предоставить мошенникам права доступа к корпоративным данным или установить вредоносную программу.
Небезопасные браузеры
Еще одно слабое место в персональных компьютерах — браузеры. В них бесконечно обнаруживаются места, уязвимые для хакерской атаки. Однако в период пандемии разработчики не могут полностью сконцентрироваться на разработке обновлений и новых степеней защиты. Как раз наоборот — внимание с этой задачи перенесено на другие области. В результате у хакеров все больше времени для взлома старых версий браузеров.
Зараженные приложения
В условиях пандемии каждый из нас хочет быть в курсе развития событий. В этой связи появилось множество приложений, которые транслируют для своих пользователей актуальную информацию о коронавирусе. Загвоздка в том, что в большинстве своем они представляют официальную информацию и не вызывают подозрений. Однако требуют для установки широкий спектр разрешений. Благодаря чему злоумышленники могут похитить данные карт пользователей, личные данные, коммерческую информацию и так далее.
Кибератаки с вымогательством
В 2020 году участились случаи атак с использованием программ-вымогателей. Она может прийти в фишинговом письме в качестве обновления, и заинтересованные в ней пользователи с большой вероятностью перейдут по ссылке и установят вредоносный файл. Дальше программа-вымогатель шифрует данные и требует выкуп за возможность дешифровки.
Как защититься от киберугроз
Год за годом атаки хакеров становятся все более изобретательны. В игру вступает искусственный интеллект, методы социальной инженерии. Современный мир все больше тяготеет к тому, чтобы защита от кибератак перешла из узкоспециализированной области в раздел общего знания.
Сегодня каждый сотрудник компании должен иметь представление о киберугрозах и на базовом уровне понимать, как с ними бороться. Дальше мы перечислим лишь несколько советов, которые помогут защитить ваши средства связи и вашу коммерческую информацию от злоумышленников.
Лучшим решением, чтобы защитить своих сотрудников от этих угроз, будет предоставление им корпоративных ноутбуков с установленными средствами защиты. В таком случае степень защиты будет близка к офисной. Советую использовать Cisco. Cisco AnyConnect — это VPN-клиент, позволяющий вам устанавливать защищенное подключение к корпоративной сети. Cisco AnyConnect включает в себя такие функции, как:
- удаленный доступ;
- контроль состояния;
- функции веб-безопасности;
- защита в роуминге.
На самом деле Cisco AnyConnect обладает куда большим количеством возможностей. Он может работать в скрытом режиме, динамически определять оптимальный шлюз удаленного доступа, имеет встроенный персональный межсетевой экран, мониторится удаленно, поддерживает IPv6, обеспечивает контроль доступа, поддерживает RDP и так далее. А еще он русифицирован и его можно установить как на ПК, так и на мобильные устройства и планшеты.
Вторым подходящим вариантом можно назвать терминальный доступ к корпоративной сети (RDP) и предоставление доступа к виртуальному рабочему месту (VDI). Такой подход предполагает работу через окно доступа домашнего ПК непосредственно на стационарном офисном оборудовании. Для реализации такой формы работы потребуется лишь установить программу-клиент. В данном случае крупные компании используют решения от Cisco или Microsoft Remote Desktop для удаленного доступа к рабочим столам.
Но не стоит ограничиваться VPN-соединением и удаленным доступом. Ниже приведу дополнительные рекомендации о том, как защитить ваш бизнес и сотрудников от хакеров:
- Не пренебрегайте антивирусной защитой. Без корректно работающего антивируса невозможно говорить о безопасности. Он автоматически защитит вас от многих угроз и удалит уже проникшие в систему вирусы.
- Не отключайте встроенные средства безопасности. В современных версиях операционных систем уже имеются встроенные средства защиты, которые нацелены на обеспечение безопасности вашего устройства. Например, в Windows 10 есть специальная панель «Безопасность Windows», которая предоставляет встроенную защиту от вирусов и угроз, защиту сетевого подключения, браузера и учетной записи.
- Пользуйтесь фильтрацией URL. Именно эта функция позволит предотвратить посещение вредоносных сайтов, заранее уведомляя пользователя об обмане. В современных браузерах функция предупреждения об опасном контенте уже включена по-умолчанию, но стоит проверить и убедиться в этом. На примере Google Chrome, если вы попытаетесь открыть небезопасный сайт, браузер предупредит вас об этом. Небезопасными считаются сайты, подозреваемые в фишинге или распространении вредоносного ПО.
- Активируйте автоматические обновления. В программах день за днем обнаруживаются ошибки, с которыми разработчики успешно борются. Не забывайте, что после установки обновления программа более защищена, чем прежде.
- Регулярно копируйте данные. Лучше, если копия будет создана в сетевом диске и также в облачном хранилище. Это даст вам возможность доступа к информации даже в том случае, если киберпреступникам все же удалось атаковать ваше ПО.
- Настройте дополнительный канал общения с сотрудниками. Уходя на удаленку, обновите базу телефонных номеров и найдите альтернативный способ общения на тот случай, если компания подвергнется кибератаке.
- Запретите сотрудникам использовать публичный Wi-Fi. Подключение к общественной Wi-Fi сети — всегда риск. Большинство публичных точек доступа никак не защищены. Их устанавливают, чтобы посетители подольше задерживались в кафе и торговых центрах. При этом никто не думает о персональных данных пользователей.
- Проверяйте, от кого пришло письмо на корпоративной почте. Выше я уже упомянул этот вид угрозы как «Фишинг». На почту приходит фишинговое письмо с вредоносными вложениями, в их числе программы-вымогатели. Нужно проявлять бдительность и не открывать файлы или ссылки, если не уверены в отправителях. Простой пример: вам приходит какой-то исполнительный лист, да еще и по налогам, да еще и на корпоративную почту! Срочно нужно открывать и смотреть, что же там такое, и бежать разбираться. Однако после перехода по ссылке скачивается исполнительный файл с названием «Исполнительный лист.exe», при запуске которого все файлы шифруются, и потом их невозможно открыть. Поэтому проверяйте отправителя письма, текст, вложения, ссылки и запускаемые программы.
- Используйте только лицензированное ПО. Зловредный файл можно просто где-то скачать: есть множество веб-сайтов с нелицензированным ПО. Рекомендую скачивать программы, в том числе и бесплатные, из официальных источников, чтобы избежать риска заражения системы.
- Не храните пароли в легкодоступном месте. Храните в специальных приложениях, например, KeePass.
- Перейдите на двухфакторную аутентификацию. Чаще всего выбирают СМС как второй фактор аутентификации, но злоумышленники тоже не стоят на месте, и сегодня уже способны перехватывать СМС. Поэтому советую установить приложение Google Authenticator. Простыми словами, создается ключ на основе временной метки, и каждые 30 секунд этот ключ обновляется. При входе в аккаунт вы вводите привычный вам пароль, а затем заходите на телефоне в приложение Google Authenticator и вводите 6-значный код. Таким образом, второй фактор находится в приложении, и злоумышленник не сможет перехватить его. Поэтому зайдите в каждое приложение, где происходит аутентификация, перейдите в настройки, в раздел безопасности и подключите там двухфакторную аутентификацию.
Грамотный учет и работа по минимизации киберрисков в бизнесе становятся жизненно необходимыми. Данные риски необходимо включать в общую карту рисков любой компании, осуществлять их регулярный мониторинг, проводить соответствующий инструктаж и тренинги сотрудников. Только такой системный подход позволит уменьшить вероятность реализации киберрисков и ущерб от них.