Технически несложные атаки косят российские предприятия, в чем причина и как бороться с этим явлением - рекомендации эксперта компании Check Point

В мае-июне 2017 года произошли масштабные кибератаки WannaCry и Petya, в результате которых пострадали десятки тысяч организаций и сотни тысяч пользователей по всему миру. В то же время исследователи сходятся во мнении, что с технической точки зрения эти атаки не были супер сложными или совершенными. О причинах массовых кибератак, а также о тех, кто за ними стоит, рассказал эксперт по защите от неизвестных угроз компании Check Point Сергей Невструев.

«За последние несколько лет произошло несколько важных изменений, которые качественно изменили киберпреступность. Во-первых, завершилось разделение труда, за счет чего сложные, изощренные атаки стало провести относительно просто. Готовые и, что особенно важно, обновляемые инструменты для атаки можно скачать или приобрести за небольшую сумму. Это могут быть готовые эксплойты на «свежие» уязвимости, платформы для рассылок, средства модификации зловредов или их частей, сервисы управления и так далее. Есть даже «вымогательское ПО» как услуга, когда вообще дается готовая платформа для шифрования файлов пользователей по подписке. Во-вторых, найдена и опробована бизнес-модель. Если хакер получил доступ на машину пользователя или в сеть предприятия – что делать дальше? Как получить выгоду из этого? Ответ был найден. Данные можно зашифровать и продать их тому, кому они наиболее ценны – их владельцу. В-третьих, распространение биткойна дало возможность собирать деньги анонимно и относительно без риска. Благодаря этим трем факторам большое число злоумышленников открыли для себя «кибербизнес». В результате и получился резкий всплеск количества подобных атак»

Кто же эти злоумышленники и какие цели они преследуют?

Принято выделять три группы. Первые работают небольшими группами или даже поодиночке, и ими движут хулиганские побуждения или тщеславие. Их атаки редко отличаются изобретательностью. Вторая группа – криминал. Заработать на взломе сейчас стало проще, а рисков несоизмеримо меньше, чем, например, взламывать банковское хранилище. Эти группы более организованные, инструменты более сложные, часто атаки целевые, то есть исследуют и ломают конкретную организацию. Характерная их особенность – бизнес-модель. Им важно получить прибыль, поэтому всегда происходит анализ необходимых для успешной атаки усилий, времени и риска, и возможный выигрыш. Третья группа – государства, или спонсируемые государством группы. Для них важен результат, бюджет часто практически не ограничен, а целями являются кибертерроризм, шпионаж, отказ в обслуживании и тп.

Сергей дал несколько советов, как необходимо строить корпоративную защиту, чтобы она была эффективной:

«Не бывает 100% защиты, и ключевая задача - сделать так, чтобы атака была настолько дорогой, сложной и рискованной для злоумышленника, чтобы он в конечно итоге выбрал себе другую жертву или, в идеале, другое занятие. Хорошая защита должна быть многоуровневой и включать в себя не только защиту на уровне периметра, но и защиту на уровне рабочих станций. В то время, когда ноутбук находится в сети организации, необходимо сделать так, чтобы физически до этого ноутбука долетало как можно меньше потенциально опасного содержимого. И даже если что-то все-равно долетит, сработали средства защиты самой рабочей станции. Принцип построения хорошей системы защиты можно описать последовательностью: Предотвратить как можно больше – Наблюдать за поведением – Обнаружить зловред – Остановить его – Автоматически откатить последствия – Расследовать инцидент. Расследование и анализ позволяет закрыть бреши в обороне, и предотвратить следующую атак»

Эксперт отметил также, что именно эту модель компания Check Point реализует в своих решениях по построению инфраструктуры безопасности, и на практике она доказала свою эффективность.