Дорогие друзья, прежде чем мы начнем, в конце статьи несколько презентаций и запись нашего вебинара.
Содержание
Введение
2022 год можно назвать годом идеального шторма для цифровизации:
уход разработчиков "железа" и программного обеспечения, как следствие увеличение стоимости и сроков поставки;
с падение платежеспособности клиентов и смена их приоритетов;
отток квалифицированных кадров;
кибервойна.
И типовая реакция у компаний была следующей:
Заморозка всех проектов развития
Ориентация на решения on-premise
Переход на «тотальную защиту»
Желание переждать на текущем ПО
Отмена установки обновлений
Что в свою очередь приводит к новым рискам:
1. Иллюзия безопасности
Стратегия заведения всех ИТ-систем во внутренний контур приводит к иллюзии безопасности – практически любую организацию можно «вскрыть» за 2 дня. Кроме того, облачные ЦОДы провайдеров изначально проектируются из концепции «вокруг все враги». А отсутствие обновлений приводит к тому, что хакерам проще использовать известные уязвимости
2. Снижение эффективности и рост стоимости информационной безопасности
Квалифицированных специалистов по ИБ на рынке недостаточно. Попытка привлечь лучших в каждую компанию приводит к гонке зарплат. К тому же, десять специалистов у единого облачного провайдера могут защитить в разы больше информации, чем эти же десять человек, работающие поодиночке в разных компаниях
3. Генерирование новых ИБ-рисков
Политика «тотальной защиты» приводит к параличу бизнес-процессов, в итоге люди выходят из защищенного контура организации и только увеличивают риски
Количество успешных атак с 2017 по 2022 годы увеличилось с 985 до 2921, то есть на 196,5%. А средняя стоимость ущерба 1 атаки увеличилась с 50-100 тыс. рублей до 200+ млн рублей
При этом сами атаки становятся комплексными: сочетают атаки на людей и технические инструменты.
И главные зоны риска - топ-менеджмент, HR, маркетинг.
Если говорить о техниках атак, то тут так же в одной атаке может сочетаться несколько подходов, и особое внимание уделяется использованию вредоносного ПО, социальной инженерии и эксплуатации известных уязвимостей в программном обеспечении.
Социальная инженерия - это сбор данных о человеке/организации и затем психологическое манипулирование человеком, чтобы он совершил те или иные действия.
Пример – звонки мошенников от «службы безопасности банка». И самое печальное - что люди попадаются все чаще.
При этом после перехода по ссылке от злоумышленника, люди вводят свои логины и пароли до 40-50 раз подряд, не понимая почему "не работает" фишинговая форма.
Ну а бесспорный хит для использования социальной инженерии - электронная почта. При атаках на организации она используется в 9 из 10 атак.
И не застрахован никто, даже специалисты по информационной безопасности.
Обычно используются реальные адреса электронной почты. При этом в ходу наиболее «хайповые» темы писем: социальные события, увольнения и сокращения, премии
Ну а после проникновения в организацию, вредоносное ПО в 42% случаев распространяется также через почту.
Если говорить о типах вредоносного ПО, то бесспорный хит в атаках на компании - шифровальщики данных. Зачем разбираться в бизнес-процессах, если можно все зашифровать и получить выкуп? Ну а в атаках на людей - шпионское ПО.
Ключевая проблемы в организации кибербезопасности, с точки зрения технической организации:
разработчики ПО не устраняют уязвимости даже после того, как им сообщают о них;
программное обеспечение и ИТ-ландшафт организаций становятся все сложнее, а количество внешних веб-сервисов больше, а значит и возможностей для дыр все больше и больше;
даже крупные разработчики ПО стараются удешевить стоимость разработки и ищут все менее дорогих специалистов.
Также набирает популярность атака цепочку поставок. Когда атакуется разработчик и в новое обновление или внедряемое ПО закладывается уязвимость. А уже потом атакуется целевая компания
Наиболее яркий пример - атака на компанию SolarWinds в 2020 году. Её клиентами было правительство США и 400 самых крупных корпораций.
При этом даже крупные организации сейчас не проверяют поставщиков ПО на наличие типовых уязвимостей.
А требования к новым продуктам размыты: например, «должны соответствовать требованиям ИБ»
Кроме того, большинство организаций игнорирует и один из самых эффективных инструментов - киберполигоны.
Киберполигоны - виртуально-реальная копия ИТ-инфраструктуры, что делает возможным выявление недопустимых событий и сценариев, тренироваться без рисков.
Но одна организация вряд ли сможет организовать эффективный киберполигон. Просто не хватит ресурсов и не смогут собрать качественную команду для проверки и атак. Плюс крупные и публичные компании не рискуют идти на открытые учения, так как CISO понимают, что их сломают. А это политически невыгодно.
При этом у хакеров набирает популярность ИИ
подмена голоса и видео
создание вирусов
сканирование периметра организаций и поиск уязвимостей
автоматический сбор информации из открытых источников на определенные темы и подготовка фишинговых писем
Как вы уже поняли, главный тренд последних лет, помимо нарушения работы компании - охота за данными: кража, шифрование, удаление.
Ну а среди данных главная цель у хакеров - персональные и учетные данные пользователей, коммерческая тайна.
Претекстинг
Вам звонят якобы из службы безопасности банка и ведут вас по заранее подготовленному сценарию. В итоге вы должны или сделать нужное действие, или раскрыть нужную информацию.
Для таких атак характерна подготовка, когда узнают имя человека, занимаемую должность, рабочие проекты и т.д. Все это необходимо для формирования доверия.
Фишинг
Вам приходит письмо, например, снова из банка. Внутри письма – ссылка, по которой надо пройти и оплатить штраф или подтвердить свои данные. Главное, что в письме будут все логотипы и оно будет максимально похожим на настоящее. Далее вы вводите конфиденциальные данные (логины, пароли и т.д.) и это утекает к злоумышленникам.
Троянский конь
Тут работают на любопытстве или желании халявы. В том же электронном письме может содержаться вложение, например, с бесплатной версией популярной программы. Далее человек устанавливает программное обеспечение, в котором зашит вирус, после чего получает либо шифрование файлов, либо баннеры с порнографией на весь кран, либо тихий сбор данных с компьютера, либо что угодно.
Дорожное яблоко
Это вариант троянского коня, только тут работа идет не через электронную почту, а через физический носитель. Человек может идти с парковки к офису и найти брендированную флешку. Дальше все происходит по схеме троянского коня: заражение и полный набор развлечений.
Кви про кво
Хакер звонит по случайному номеру в компанию, представляется сотрудником техподдержки и задает вопрос, а есть ли какие-либо технические проблемы у жертвы. Если есть (а скорее всего они есть), то начинается, условно говоря, претекстинг: сотрудник делает нужные действия, а злоумышленник устанавливает вредоносное ПО.
Обратная социальная инженерия
Здесь идет работа от обратного – жертву заставляют позвонить злоумышленнику и попросить о помощи. Например: сначала жертве на почту приходит письмо из разряда «если возникли неполадки с компьютером, позвоните по такому-то номеру»; далее создается проблема, когда пропадает интернет; затем жертва сама обращается к злоумышленникам.
Какие вложения к письмам опасны?
ZIP- и RAR-архивы
Киберпреступники очень любят прятать вредоносные файлы в архивы, и, распаковав архив, вы можете тут же заразить ПК
Файлы PDF
Формат позволяет создавать и выполнять скрипты JavaScript. А также в документах часто содержатся фишинговые ссылки
Документы Microsoft Office
Документы Word (.doc, .docx), электронные таблицы Excel (.xls, xlsx, .xlsm), а также презентации могут содержать вредоносные макросы
Образы дисков ISO и IMG
В виртуальных копиях CD, DVD или других дисков также могут быть зашиты вредоносные программы
В итоге, при исследованиях Positive Technologies на проникновение во внутреннюю сеть уходит 2 дня, а в 71% случаев срабатывает простой подбор учетных данных. Также идет рост на веб-сервисы организаций.
Если говорить по уязвимости, то в среднем в крупной организации выявляют 31 066 уязвимостей, из которых 57% опасные, а 3% - критичные. При этом разработчики ПО не спешат устранять уязвимости. Более 53% уязвимостей не были устранены в течение года после того, как исследователи обнаружили их.
12% уязвимостей было найдено в ПО, предназначенном для защиты организаций.
В 70% организаций замечена активность вредоносного ПО, которую пропустили базовые средства защиты. Проникнув внутрь, реализовать более 80% недопустимых событий удавалось практически в 100% исследований за 30 дней
И кибербезопасность во многих организациях "бумажная", в то время как злоумышленники используют и искусственный интеллект, имеют широкий набор инструментариев и развитое сообщество.
Игнорируем и не общаемся с подозрительными собеседниками. Ваш голос могут записать для последующего использования и подмены. Если необходимо – повесьте трубку и перезвоните по официальному номеру
При работе с почтой проверяем отправителей писем и ссылки внутри документов, не открываем подозрительные вложения и ссылки, не ведемся на «хайповые» темы писем (события, увольнения, премии)
Используем сложные пароли и не используем личные пароли на служебных ПК, а также не используем рабочую почту для регистрации на сторонних сервисах
Сопровождаем посетителей и говорим только то, что необходимо, без обмена новостями о внутренних событиях (в том числе в цифровом пространстве и на личных страницах)
По возможности игнорируем публичные WiFi и обязательно игнорируем WiFi без ввода пароля при подключении
Игнорируйте «срочность». Злоумышленники любят давить на неотложность ситуации и создавать стрессовые ситуации
Используйте двухфакторную аутентификацию
Обновляйте ПО на личном оборудовании
Определить события и критерии для них, которые недопустимы. Например: кража более 1 млн, утечка клиентской базы, отказ насосов охлаждения более чем на 1 час и т.д.
Определить связки «недопустимые события – процессы – ИТ-системы», которые могут привести к данным событиям
Определить сценарии, которые могут привести к недопустимым событиям
Проверить реальную защищенность организации и ее систем от неприемлемых событий, в т.ч. с помощью целевых пентестов
Провести ретроспективное расследование на предмет старых взломов
Выбрать отечественную систему защиты (особенно периметровые средства защиты и системы для центров мониторинга информационной безопасности)
Усилить мониторинг, направленный на раннее обнаружение киберугроз и реагирование на них
Активнее использовать облачные решения, которые изначально проектируются к условиям враждебной внешней среды
Подойти к выстраиванию ИБ системным подходом, в т.ч.:
включать в процесс технарей, HR, маркетинг, ТОПов
проводить регулярное обучение персонала с киберучениями
менять парольные политики
формировать четкие требования к внешним поставщикам ПО на старте ИТ-проектов и проводить аудит решений через blackbox и в песочницах
участвовать в открытых кибербитвах и т.д.
Ключевая задача – уйти от классического ИБ, когда пытаются защитить все и найти лучшие практики, к гарантированной защите от недопустимых событий
Презентация