В трансформации бизнес-процессов и построении IT-инфраструктуры особое внимание заслуживает информационная безопасность. С каждым днем растет количество кибератак и полученный от них ущерб. О том, как защитить себя от злоумышленников и какие тренды наблюдаются в этом направлении, редакции ICTNEWS рассказал Алексей Белоглазов, технический эксперт Check Point Software Technologies по защите от кибератак в СНГ, Турции и странах Персидского залива.
– Какие кибератаки и особенности организации киберзащиты компания Check Point Software Technologies наблюдает в СНГ, в частности в Узбекистане, по сравнению с мировыми трендами?
– Специалисты нашего подразделения Check Point Research, анализируют поступающие сведения об обнаруженных нашими решениями и другими компаниями киберугрозах в различных странах, а также доступные инструменты, сервисы и выставленные на продажу плоды успешных атак на «черном рынке» (в DarkWeb), и убеждаются, что несмотря на уникальность региона СНГ, ситуация очень похожа на мировую. Однако, количество фиксируемых атак в среднем на одну компанию выше в два раза.
Во всем мире распространены атаки на банковскую сферу (например, трояны Emotet и Ramnit), критическую инфраструктуру и государственный сектор. Это могут быть как международные атаки, так и внутренние злоумышленники в той же стране – самый разный контингент. Основной стимул – «легкий» заработок.
Используются доступные и популярные способы проникновения в сеть и на устройства пользователей. Это социальная инженерия и фишинг; вредоносные документы, скрипты и приложения по почте и веб; флешки, подброшенные на парковку; подложные Wi-Fi точки; прослушка сетевого трафика и даже атаки с физическим проникновением, когда к рабочим станциям или в сеть подключаются специализированные аппаратные устройства.
Главная особенность региона СНГ, которую мы видим, проявляется в отношении организаций к «облакам».
Во всем мире наблюдается клаудификация (Cloudification) – компании активно переходят на облачные сервисы и отказываются полностью или частично от модели использования вычислительного оборудования и программного обеспечения у себя на балансе и в своих дата центрах. Это позволяет оптимизировать затраты и более динамично развиваться.
Возникла потребность в новой информационной системе и сервисе, добавились новые пользователи, новые задачи, локации? «Облака» позволяют подключить необходимые ресурсы или приложения в считанные минуты, а к ним, в свою очередь, подключается информационная безопасность как сервис (репутационные базы, средства анализа, «песочницы»).
Здесь же (в нашем регионе) мы как производитель средств киберзащиты наблюдаем противоположный тренд – вынужденный уход от «облаков».
Это может быть связано с ограниченной доступностью облачных сервисов (пропускная способность Интернет-каналов, задержки). Не секрет, что скорость международного обмена данными в сети Интернет в Узбекистане существенно уступает скорости обмена данными внутри страны. На то есть объективные причины.
Кроме того, ужесточаются требования локальных регуляторов, которые напрямую запрещают отправку персональных данных граждан за пределы соответствующей страны.
В таком случае необходимо использовать локальные средства информационной защиты (оборудование и ПО) и очень важно, чтобы эти средства были полнофункциональными, обеспечивали такой же уровень защиты и масштабируемость, как облачные аналоги.
Компания Check Point Software Technologies, в отличие от многих зарубежных производителей, позволяет создать полностью локальную копию своего «облака» (репутационные базы Threat Cloud, серверы обновлений ПО, «песочницы»Sand Blast) на территории конкретной страны или даже организации, в том числе для сегментов, изолированных от сети Интернет.
У нас уже реализованы подобные проекты на базе нескольких крупных компаний-заказчиков, партнеров-интеграторов и телеком-операторов в Российской Федерации, Германии и других странах.
Кроме того, подобная система обмена сведениями об угрозах должна быть открытой. Она должна позволять импортировать данные из внешних источников Threat Intelligence, включая локальные индикаторы компрометации (хеши файлов, адреса, домены, и прочие), полученные в ходе анализа инцидентов в конкретном регионе или отрасли, чтобы автоматически повышать защищенности всех организаций, подключенных к ней. У нас уже есть позитивный опыт интеграции с ФинЦЕРТ и ГосСОПКА в РФ.
– За последние два года мы наслышаны о массовых атаках шифровальщиков, которые нанесли огромный ущерб многим организациям во всем мире. С тех пор уязвимости закрыты обновлениями Microsoft, выпущены сигнатуры антивирусов, усовершенствованы другие средства киберзащиты. Стоит ли опасаться новой волны?
– К сожалению, известная уязвимость Eternal Blueв протоколе SMB только открыла «ящик Пандоры». С тех пор было открыто множество новых подходящих уязвимостей (в системе поиска Windows, в протоколе RDP, и др.)
Мы фиксируем и другие неожиданные векторы доставки вирусов-шифровальщиков. Например, в одном крупном банке в Восточной Европе вредонос Not Petya был доставлен с обновлениями бухгалтерского ПО «M.E.Doc» со взломанных серверов разработчика. Уцелели лишь несколько рабочих станций, защищенных нашим решением San dBlast Agent (тестируемым в тот момент на пилотной группе машин). Теперь он используется повсеместно и успешно отражает новые атаки.
Типичная атака вымогателей может выглядеть как полноценное проникновение, установка трояна и удаленное управление, эскалация привилегий до уровня администратора ActiveDirectory и распространение шифровальщиков групповыми политиками.
Во всем мире крупные организации сделали выводы из атак WannaCry, NotPetya, GrandCrab и начали массово использовать «песочницы» и продвинутые агенты защиты на конечных станциях для предотвращения новых вирусов-шифровальщиков. Однако, далеко не все организации хорошо защищены. Показателен недавний пример Lake City в штате Флорида, который был вынужден заплатить 600 тыс. долл. США вымогателям.
Количество фиксируемых нашими средствами защиты атак шифровальщиков (таких как Bad Rabbit и Troldesh/Shade Ransomware) в СНГ в 8 раз превышает среднее по миру.
Это связано с инерционностью, с которой наш рынок переходит к новым средствам киберзащиты. Большинство организаций по-прежнему надеются на традиционные антивирусы (которые не распознают и не блокируют новые вредоносы), резервные копии (которые часто бывают уничтожены в ходе атаки) или, что они смогут восстановить все данные, заплатив вымогателям.
Такая надежда на «авось» может очень дорого обойтись. Фактически, ущерб от одной пропущенной атаки может превысить стоимость продвинутой кибер-защиты для всей организации за несколько лет.