Після повномасштабного вторгнення різноманітність та кількість кібератак збільшилися у кілька разів як мінімум. Атаки стали здійснюватися у різний спосіб — як примітивні, так і досить складні. Зросла і їхня інтенсивність. Наприклад, до 24 лютого деякі атаки на «Укртелеком» не фіксувалися в принципі, DDoS-атаки були великою рідкістю.
Абсолютна більшість кібератак — примітивні й прості. Стандартними інструментами промацується периметр інфраструктури, відбувається пошук лазівок. Таких тисячі щодня, і вони відбиваються в автоматичному режимі.
Оцінюючи статистику, можу відзначити загальний тренд збільшення інтенсивності атак. Останнім часом вони відбуваються найчастіше хвилями, піки яких, як правило, припадають на знакові як для України, так і для міжнародних подій дати. Наприклад, на державні свята кібератаки традиційно зростають.
Водночас з’явилися складніші, більш цілеспрямовані, добре підготовлені та дороговартісні у реалізації кібератаки на конкретні компанії. Іноді зловмисники готуються місяцями, щоб знайти точку проникнення. Знайшовши її, не діють швидко, обачні, маскуються, вивчають ландшафт, усередину якого потрапили, і довго готують удар. Потім намагаються цим ударом завдати максимальної шкоди.
Минулого року «Укртелеком» відчув такий вплив на собі, що призвело до повного перегляду механізмів захисту зовнішніх сервісів, їхньої значної модифікації та заміни.
Zero-day вразливість
За час повномасштабного вторгнення було кілька кібератак, коли хакери досить довго та скрупульозно підбирали шляхи проникнення в інфраструктуру «Укртелекому». Зловмисники довго готувалися і в якийсь момент завдавали досить відчутного удару, який було не просто відбити і не допустити його повторення.
Одним зі способів стало блокування роботи антивірусної системи. За словами вендора, такого механізму зупинки роботи цього антивірусу до аналізу нашої кібератаки вони не знали. Тому, можна сказати, що це і було використання певної zero-day вразливості.
Чи можливо на 100% захиститись потенційним мішеням? Повністю — ні. Оскільки про zero-day ніхто не знає до моменту його виявлення. Але методи боротьби з експлуатацією таких вразливостей все одно існують.
Рекомендації для підготовки та боротьби з атаками
Основний спосіб — це якісна команда Security Operation Center (SOC) та використання механізмів кібербезпеки, які показують аномалії та події, що відбуваються в інфраструктурі. Чим досконаліші процеси інформаційної безпеки, тим швидше команда зможе впоратися з наслідками злому та не допустити поширення та збільшення ландшафту кібератаки. На мою думку, це основне правило, яке допоможе захиститись не тільки від zero-day, а від будь-яких видів кібератак.
В один ряд із zero-day можна поставити й людський фактор, і інсайдера, і просто незакриті вразливості з тієї чи іншої причини. Чим більша інфраструктура, тим ймовірніше в ній щось не помітити чи упустити. Тому особливо для масштабних компаній фокусом мають бути процеси інформаційної безпеки та покриття інструментами кібербезпеки максимального обсягу інфраструктури.
Робота системи кібербезпеки — це перший дуже великий аспект. А другий — це процеси відновлення систем. Тобто кібератаку можна побачити, але не завжди можна швидко зупинити. Дуже часто її видно тоді, коли вона вже реалізована в якійсь системі та остання вже заражена.
Важливо мати перевірені інструменти відновлення. Так званий Disaster Recovery Plan щодо відновлення інформаційної системи. В ідеалі таке тестове поновлення із системи резервного копіювання необхідно проводити не рідше ніж раз на пів року. Щоб персонал мав навички щодо відновлення, а бізнес чітко розумів, як багато часу пройде до повного повернення працездатності зараженої системи до «життя» у стан до втручання. Це не менш важливо, аніж просто вчасно зупинити кібератаку.
Одна справа — побачити та зупинити, а інша — відразу ж відновитися.
Виконавши весь цей комплекс, можна повернути своє підприємство до нормального стану, який був до кібератаки, з мінімально можливими втратами.