Количество публичных утечек данных за последний год выросло в полтора раза по сравнению с предыдущим. О том, кто совершает кибератаки, почему это происходит и как можно обезопасить себя, рассказывает директор по информационной безопасности и сооснователь компании Awillix Александр Герасимов.
– Почему утечек данных становится все больше?
– Первая и основная причина — это выгода. Кража данных и их вывод в интернет приносит злоумышленникам на теневом рынке сотни миллионов долларов. Это целый бизнес, у которого есть рабочая схема заработка:
1. Когда преступники попадают в важную информационную систему компании, сначала они забирают эти данные себе.
2. Потом злоумышленники шифруют данные и просят у компании выкуп. При этом, если она откажется от условий, преступники опубликуют на теневом рынке часть данных, тем самым показывая, что они ими владеют.
3. Как правило, шантаж работает, и на последнем этапе компания платит выкуп. Иногда конечная сумма выкупа превышает начальную — организации готовы переплачивать, лишь бы их данные больше не трогали.
Вторая причина — это текущая ситуация в мире. Между странами происходят кибервойны. Существуют даже целые группировки, которые совершают кибератаки на сервисы и компании других стран, преследуя государственные цели.
Третья причина — это дефицит специалистов по информационной безопасности. В 2021 году аудиторская компания (ISC)² провела исследование и сделала вывод, что нехватка таких специалистов в мире составляет порядка двух млн человек. Из-за этого у компаний страдает защита IT-инфраструктуры.
– Кто чаще всего подвергается кибератакам?
– Прежде, чем ответить на этот вопрос, стоит поговорить о видах кибератак: они бывают массовые и целенаправленные, и у них разные жертвы.
Бизнесу самый большой урон наносят целенаправленные атаки. Они направлены на конкретную организацию. Там счет идет на сотни миллионов долларов. Поводы для таких атак либо финансовые (заработать деньги), либо государственные (приостановить работу компании на какое-то время).
В мае 2022 года свою работу приостановил сервис Rutube. Скорее всего, это произошло не из-за обычной атаки, которую совершила группировка с целью вывести данные и расшифровать их. Атаку, вероятно, проспонсировал какой-то крупный человек или компания.
Целенаправленных атак гораздо меньше, чем массовых, но они бьют жестче. Исходя из сводок киберпреступлений в этом году можно сказать, что в зоне риска все: и компании, и их пользователи. Против хорошо подготовленных злоумышленников не смогли устоять даже такие гиганты, как «Яндекс», «СДЭК» и «Юла».
– С февраля этого года российские компании подвергаются массированным кибератакам. В новости попадают DDoS-атаки, утечки данных. Как за последние месяцы менялись угрозы, связанные с социальной инженерией?
– Действительно, такая тенденция есть. Если раньше мы наблюдали много таргетированных фишинговых кампаний, то сейчас целенаправленных атак становится меньше, а массовых – больше. Используются и сюжеты, связанные с мобилизацией, ипотекой для ИТ-специалистов и другие актуальные новостные повестки. Цель – получить удаленный доступ и максимально распространить зловредное ПО на устройства жертв.
– Насколько компании оказались готовы к этому шквалу угроз?
– Это зависит и от зрелости самой компании, и от подготовки злоумышленников. По опыту наших пентестеров, в 80-85% случаев удается через фишинг получить доступ к конфиденциальным данным, пробраться во внутреннюю сеть.
Но есть и компании, которые выстроили процессы ИБ, инвестируют в обучение сотрудников, проводят собственные фишинговые тренинги. У них иногда получается отразить фишинговую атаку еще до того, как она началась – например, средства мониторинга сообщают о регистрации домена, похожего на официальный сайт, специализированные системы защиты анализируют входящие письма, проверяют их содержание, ссылки. Такая песочница не пропустит опасное письмо к пользователям.
– Как компании могут себя обезопасить от взлома?
– Слить данные компании может внутренний или внешний нарушитель. Первый — это сотрудник организации, который пытается вывести корпоративную информацию, а второй — это хакер.
От каждого из нарушителей есть свои средства защиты.
- Обучение сотрудников. 80% взломов работники совершают случайно, когда переходят на фишинговый сайт из почтовой рассылки. Чтобы этого не происходило, организациям нужно отправлять сотрудников на курсы по защите данных. Идеально, если после курсов работодатель создаст свои фишинговые рассылки и разошлет их сотрудникам, чтобы проверить и закрепить их знания.
- Использование программных средств для блокировки вредоносного ПО. Это могут быть различные антивирусы, файерволы, XDR-системы, средства мониторинга.
- Внедрение службы безопасности. Компании полезно иметь хотя бы специалистов из синей команды, которые будут мониторить инциденты и реагировать на них.
– Эксперты говорят, что и APT-кампании стали более изощренными. Какой тренд вы наблюдаете?
– Да, один из недавних примеров – взлом блокчейн-платформы Axie Infinity. Злоумышленники несколько месяцев общались с одним из инженеров, притворяясь HR-специалистами другой компании. Изображали процесс хантинга, проводили интервью, поддерживали общение. На третий или четвертый месяц они прислали ему «оффер» в docx-файле и так попали на компьютер. Долго находились в инфраструктуре, собрали информацию, получили доступ к кошелькам и вывели все деньги.
Блокчейн-проекты, финтех-стартапы сейчас вообще под пристальным вниманием преступников.
– А среди российских компаний кто под угрозой?
– У нас это либо очень известные и крупные компании, либо также финтех. У первых злоумышленники пытаются украсть данные или зашифровать их ради выкупа. Не хотите платить – ваши данные окажутся в сети. Вторых атакуют, чтобы добраться до денег.
– Из каких отраслей к вам чаще обращаются заказчики?
– Разброс очень большой – сервисы такси, строительные компании, все-все-все. Конечно, очень много компаний из ИТ, у которых есть собственная разработка, которые занимаются интеграциями, поставляют ПО.
В принципе, сейчас ИТ-направления развивают компании из практически любой сферы. Поэтому и среди клиентов представители самого разного бизнеса. И не только столичные – есть и Санкт-Петербург, и другие миллионники.
Интерес компаний к услугам ИБ в 2022 году заметно вырос – как на уровне коммерческих запросов, так и на уровне простой заинтересованности. Спрашивают про пентесты, анализы защищенности, классические аудиты.
– Начинают ли компании выделять социальную инженерию в отдельный класс угроз, который требует специфицеского подхода? Или бизнес по-прежнему думает о безопасности как о чем-то, что можно автоматизировать, закрыть периметр VPN-ами, рабочие станции защитить IRP и т.д.?
– Да, в последние года полтора восприятие стало меняться. Сейчас – так уже точно. Отдельно пока не заказывают – обычно социальная инженерия идет в комплексе с тестированием на проникновение, анализом защищенности.
Но сам этот вектор сейчас начинает восприниматься самостоятельно – как одна из основных угроз.
– Научить человека не кликать по ссылке из непонятного письма проще и дешевле, чем внедрить мощную платформу, которая будет такие попытки пресекать.
– Это и проще, и понятнее для самого заказчика. Например, по итогам проверки выяснилось, что 70% сотрудников открыли письмо, из них половина прошла по ссылке и ввела свои учетные данные. Это дает преступнику легитимный доступ в инфраструктуру, где он может делать все, что угодно – менять настройки VPN, попасть во внутреннюю сеть, развиваться дальше. При этом без соответствующей настройки средства защиты эти действия не увидят и не заблокируют.
Когда бизнес видит эти риски, он очень быстро принимает решение защищаться от социальной инженерии. Компания выстраивает дополнительные средства защиты, организует обучение, принимает организационные меры.
– Можно предположить, что подобное обучение касается сотрудников, которые не очень хорошо себя чувствуют с технологиями – таким, наверно, еще сложнее привить привычки безопасности?
– Нет, на эти мероприятия приходят и сотрудники ИТ-подразделений, и CTO. Есть разные группы для разного уровня подготовки – одним будут рассказывать про VPN и парольные менеджеры, у других материал начнется с чего-то более базового.
Даже если вначале слушателям не очень интересно, все меняется, когда дело доходит до кейсов, примеров того, что взломщики могут сделать. Тут аудитория начинает слушать внимательно, общаться с тренером. Людям интересно, как происходит взлом, как действуют злоумышленники, как они готовят инфраструктуру для фишинга. Увидев, как это работает, они потом лучше воспринимают обучающие материалы. И потом это воплощается в более грамотное поведение – сотрудники узнают фишинговые письма, сообщают ИТ- или ИБ-специалистам, те реагируют.
– Что самое простое может сделать компания, чтобы укрепить свою защиту?
– Я бы рекомендовал комплекс мер. Это базовое обучение сотрудников – что такое фишинг, как он работает, какие есть виды, как определить фишинговый сайт или письмо. Обязательно с кейсами.
И вторая часть – это внутренние фишинговые рассылки, например, раз в квартал. С разными сюжетами, разными методами. Такие тренировочные кампании будут держать сотрудников в тонусе. По итогам нужно смотреть аналитику и с теми, кто прошел по ссылке, ввел данные и так далее, проводить дополнительное обучение.
Есть платформы, которые воплощают в себе все, что нужно для обучения: курсы, видео, тесты, экзамены, моделирование фишинговых писем и вредоносных сайтов.
По итогам курса слушателю предлагаются дополнительные курсы, которые постоянно обновляются вендором – добавляются кейсы, разделы. Например, если появится новый способ распространения зловреда, человек об этом узнает и, если встретится с ним в реальной жизни, будет знать, что делать.
С технической стороны я бы порекомендовал настроить защиту на почтовом сервере, поставить песочницу, средства мониторинга.
