Що варто знати щодо наявних кібератак, чи можна їх передбачити і як захиститись. Поради від кіберекспертів

Що кажуть експерти

dev.ua спитав у кіберекспертів, чому рф активізувала хакерські атаки на підприємства, поради, щоб захистити кіберінфраструктуру, чи можна захиститися раз і назавжди та про кібератаки та захист їх компаній. Ось, що нам відповіли.

Зараз не іде масова атака на ряд державних компаній, атака іде на 1 дата-центр, на якому державні некомпетентні фахівці  зберігали «усі яйця в одному кошику»:

1. Я б порадив нашим державним «геніям мислі» не зберігати «яйця в одному кошику», і це буде порада № 1.
2. Порада № 2 використовувати алгоритм балансування, типу roundrobin, або будь-які інші, для захисту від кібератак.
3. Порада № 3 мати резервну інфраструктуру, на яку можна переключитися у разі відмови основної інфраструктури.
4. Порада № 4 найняти компетентних фахівців із відкритого ринку та призначити  їм ринкові зарплати, щоб вони могли розвиватися, та компетентно виконувати свої обовʼязки, не думаючи де їм знайти додаткову халтуру, для того, щоб прогодувати власну родину
5. І порада № 5 не читати статті журналістів, які питають 5 порад, або 5 простих рішень, які мають на їх особисту думку виправити надскладну ситуацію. Бо кібербезпека — це не прості рішення, а безпека як така — це стан, процес.

Тому ніяких 5 пунктів в такому випадку бути не може, адже треба змінювати комплексний підхід до державної кібербезпеки, починаючи з того, що змінити деякі державні марні документи типу ксзі («Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі», розʼяснення до яких випустила Держспецзвʼязку — прим.ред.), адекватними американськими нормами типу ISO27001. Я давно говорю, що ISO27001 треба ввести як стандарт з керування інцидентами інформаційної безпеки на державному рівні, замість ксзі і будь-якої єресі, яку придумує держспецзвʼязок. 

Чи здійснювала росія кібератаки на нашу компанію — є комерційною таємницею нашої компанії. Якщо ви питаєте про HackYourMom, то так, нас нещодавно атакували, ми про це регулярно пишемо у нас в каналі, але ми не робимо з того шоу, як робить деякі державні можновладці. Ми не розказуємо що відбили мільйон атак, коли нас атакували, наприклад, срані ДДОСери. Тому відповідь так, HackYourMom атакували, атакують кожного дня, але це ДДОСери.

Наскільки ми захищені покаже час та найперший злам, адже навіть суперзахищених систем, які ніхто не може зламати, не існує.
Ви повинні розуміти, що безпека будь-якої системи характеризується рівнем безпеки найслабкішої ланки, що означає що на «кожний хитрий болт є болт хитріше».

Ми не кажемо, що ми самі розумні у світі, ми кажемо, що ми виконуємо ряд системних дій, для того, щоб збільшити вартість злому нас на стільки, що ламати систему буде не рентабельно. Адже інформація, яку потенційні зламщики можуть добути в результаті зламу, не вартує тих коштів, які будуть витрачені на злам системи. Що робить злам безглуздим.

Щоб захистити кіберінфраструктуру, потрібне відповідне обладнання, кваліфіковані фахівці та сприйняття серйозно порад тими людьми, хто приймає рішення.

Якщо «роль кібербезпеки в сучасному світі трохи перебільшена» © міністр цифрової трансформації Михайло Федоров, то тоді будемо мати із часом ще гірші наслідки. Тому що ворог вчиться, і дуже успішно та швидко.

1. По-перше, треба залучити для кіберзахисту дійсно кваліфікованих спеціалістів. Без цього не буде взагалі нічого далі. Це — базовий фундамент. Я розумію, що держава не хоче платити ринкові зарплати, а обмеження державної служби лякають тих самих кваліфікованих спеціалістів. Можливо, віддача кіберзахисту держави на аутсорс приватним компаніям буде рішенням. Але платити дорогим спеціалістам так чи інакше навіть вище ринку все одно прийдеться.
2. По-друге, треба надати тим спеціалістам відповідні повноваження для співпраці з держорганами. Тому що інакше держслужбовці будуть просто ігнорувати поради спеців кібербезпеки, бо ці поради звісно добавлять їм роботи.
3. По-третє, треба забезпечити кіберзахисників відповідним обладнанням, каналами зв’язку, доступом до інтернету. На щастя це те, з чим, на мій погляд, все відносно добре. На відміну від необхідності виплати відповідних зарплат, посадовці розуміють необхідність закупки спеціалізованого обладнання, гроші на це виділяються, та й партнери з розвинутих країн допомагають. Єдине що треба — щоб закупалось саме те обладнання та ресурси, про які скажуть люди з першого пункту, саме в тій кількості.
4. Четверте (п’яте, шосте, сьоме…) — це навчання користувачів. Що не можна писати паролі на наліпці та наклеювати це прямо на монітор. Чому qwerty ніколи не може бути паролем. Чому не можна відкривати прислані невідомо ким файли та посилання, що таке електронний підпис та як використовувати його у повсякденній праці — оце от все… Тому що в 99% випадків злам ініціюється саме через користувача.
5. П’ятим пунктом треба поставити плани відновлення, якщо атака все ж була успішною. Це і прописаний алгоритм дій, і декілька резервних копій інформації в різних місцях, в тому числі не підключених до мережі, і заздалегідь налаштований захист від ДДоСів.

Наша компанія, як і, мабуть, всі інші, постійно є під кібератаками, в тому числі з росії, просто декілька разів на день щось пробують: то фішинг, то ДДоС, то соціальну інженерію, то сканування сервісів… Поки що наші працівники тримають кіберфронт, і жодна атака не досягла мети. Сподіваюсь, так буде й далі.

За цей час ми напрацювали як організаційні питання, так і технічні аспекти плану реагування на DDOS, що в результаті дозволяє ефективно протидіяти атакам. Тому і в цьому випадку клієнти фактично не відчувають наслідків таких атак на ресурси банку. Під час війни найбільш потужні DDOS-атаки на банк, як і на низку інших банків, було проведено за декілька днів до початку повномасштабного вторгнення і декілька днів після. Ці атаки вдалося відбити без впливу на роботу основних сервісів банку. 

Останні декілька років ті DDOS-атаки, які здійснювалися на банк, завдяки продуманій реалізації анті-DDOS політики, не мали впливу на безперервність та безпеку функціонування сервісів і послуг банку. Окремо слід зазначити, що за цей час траплялися випадки, коли DDOS-атаки здійснювалися на партнерів банку, що в результаті приводило до часткової недоступності деяких сервісів банку, які залежать від партнерів. Але і для таких випадків ми вживаємо відповідні заходи — наші фахівці надають партнерам технічну консультативну допомогу щодо анті-DDOS сервісів та їх налаштування, опрацьовуємо порядок оповіщення про атаку тощо. Все це дозволяє мінімізувати наслідки навіть непрямої DDOS-атаки.

Від продуманої і надпотужної DDOS-атаки дуже складно захиститися. Тому, в цьому випадку як і для протидії іншим загрозам треба намагатися реалізувати один із принципів кібербезпеки — зробити таким чином щоб вартість атаки для зловмисників, тобто ресурси, що необхідно вкласти в її реалізацію, були значно вище, ніж вигода від самої атаки. Для цього необхідно завчасно готуватися як організаційно — мати відповідних фахівців, план реагування на DDOS-атаки, що регулярно тестується, так і технічно. Сьогодні в Україні доступні анти-DDOS сервіси, які навіть в безкоштовному або мінімальному по вартості пакетах пропонують відносно ефективний захист. Навіть дефолтні правила таких сервісів дозволяють захиститися від 99% «звичайних» кримінальних зловмисників, які вимагають кошти у жертви за припинення атаки. Безумовно, для корпоративного бізнесу такий підхід буде не достатнім, необхідно придбати та налаштувати, з урахуванням технологій, що реалізовані в Інтернет-ресурсах, більш потужні анти-DDOS сервіси, працювати з телекомунікаційними провайдерами для задіяння обладнання рівня провайдера проти DDOS-атак тощо.   

Як захистити кіберінфраструктуру:

1. Навчання та обізнаність — існує такий вислів — ваша система система кіберзахисту настільки потужна, наскільки сильний найслабший її компонент — звичайний співробітник. Дуже важливо навчати звичайних фахівців, як дотримуватися правил кібергігієни, адже дуже часто саме вони стають точкою входу для зловмисників. Навички кібергігієни — вкрай важливі.

Майже 100% успішних кібератак успішні через людський  фактор. Велика кількість кібератак відбувається з вини співробітників. Хтось відкрив спам-лист і залишив дані від свого робочого облікового запису зловмисникам. Зловмисники підробили листа з рахунком вашому бухгалтеру, а він не перевірив, і компанія втратила гроші, ваш системний адміністратор забув вчасно встановити оновлення ПЗ тощо. Кібербезпека та кіберзахист це перш за все розуміння людей, що це важливо.

З метою для недопущення повторення подібних інцидентів у майбутньому CERT-UA готує та розміщує на своєму офіційному веб-сайті рекомендацій щодо протидії сучасним видам кібератак та кіберзагроз. Зокрема, вважаємо за потрібне поділитися статтею про типові слабкі місця та відповідні заходи кіберзахисту.

2. Інвестиції в кіберзахист — інколи комусь може здатися, що суттєві інвестиції в кібербезпеку не є необхідністю. Раніше і в Україні багато-хто так думав. Після низки руйнівних атак наша держава та частково бізнес почали набагато серйозніше ставитися до викликів у кіберпросторі.

Зараз росія і контрольовані нею хакери готуються до тривалої боротьби проти України та Заходу і залучають все більше фахівців. Вони використовують передові технології для створення більш складних сценаріїв атак. 

Така ескалація складності атак підкреслює необхідність для організацій постійно вдосконалювати свій захист від кіберзагроз, щоб залишатися на крок попереду нових загроз.

3. Обмін досвідом — для протистояння загрозам в кіберпросторі дуже важливо швидко обмінюватись даними про загрози, індикатори компрометації, вразливості. Всім, що бачимо та знаємо ми, ми відразу ділимось з партнерами, відтак, вони можуть швидко реагувати на загрозу. Так само діють і вони. Це допомагає відбити дуже багато потужних атак. На рівні компаній це теж мають бути постійні навчання, обмін досвідом, тощо.

4. Резервування даних — спроможності по протидії в кіберпросторі можна поділити на дві основні частини: попередження кібератак та швидкість відновлення, в разі якщо попередити не вдалося. Швидке відновлення після атаки є не менш важливим ніж їх попередження. Вся інформація має бути зарезервована і захищена від атак ворога.

5. Не боятись звертатися до профільних органів за допомогою — в Україні існує проблема, щоб бізнеси, наприклад не завжди звертаються, навіть коли є проблема і приходять тільки в той момент, коли вже пізно. Виходить, що довіра напрацьовується, але інколи дорогою ціною.

Війна в Україні чітко продемонструвала, що держава і бізнес мають бути партнерами та ефективно працювати разом. І це — питання спільного захисту: атака на державні ресурси може поширитися на бізнес, а проникнення в інформаційні системи приватних компаній може становити серйозну загрозу для державних органів, які користуються програмними продуктами такої компанії.

Захиститися від кібератак раз і назавжди неможливо, але є способи мінімізувати шкоду, яку вони можуть нанести або взагалі звести її нанівець. 

Запорука стійкості бізнесу в важкі часи ― це побудова відмовостійкої IT-інфраструктури. Для цього ми та інші хмарні оператори надаємо низку сервісів. Один із них ― BaaS. Сервіс дозволяє робити резервні копії та зберігати їх у репозиторії хмарного оператора. Не дарма говорять, що не слід «тримати яйця в одному кошику», тобто зберігати всі критично важливо сервіси та дані разом з резервними копіями в одному місці. Їх потрібно розміщувати на різних майданчиках, чи-то фізичних, чи-то хмарних. 

Крім того, GigaCloud пропонує хмарний сервіс DRaaS (Disaster Recovery as a Service) для аварійного відновлення роботи IT-інфраструктури на резервному майданчику, розміщеному на потужностях хмарного оператора. Тобто інфраструктура клієнта працює в хмарі чи на власному обладнанні та через певний проміжок часу копіюється в хмару GigaCloud. Але якщо основний майданчик клієнта стає частково або повністю недоступним, то в роботу включається резервна інфраструктура. Так навіть після найпотужнішої хакерської атаки бізнес зможе продовжити працювати без простою та репутаційних втрат.

Загалом дуже важливо сегментувати мережу. Потенційно вразливі сервіси мають розміщуватися окремо від критичних. Це як в лікарні ― пацієнт з вірусним захворюванням має бути в окремій палаті, щоб вірус не поширювався. Так і сегментація мережі забезпечує розділення мереж різного призначення, що значно знижує ризик проникнення. 

Також не слід забувати про інформаційну гігієну всередині компанії. Більшість атак трапляється саме через помилки співробітників. Так, наприклад, за допомогою елементарного інтернет-ОSINT можна виявити і потрібних людей, і їхні слабкі місця, і необхідні точки «віртуального входу» в компанію. Детально ОSINT-розвідку ми розбирали на прикладі видання dev.ua. 

Нерідко масштабні витоки інформації є результатом елементарного фішингу серед співробітників. Про заходи попередження таких інцидентів ми розповідали тут. 

Окрім інформаційної гігієни захиститися від фішінгу допомагає двофакторна аутентифікація. Це один із найголовніших та найкращих засобів захисту. При витоці логіна і пароля співробітника зловмисник не проникне в мережу, бо йому буде необхідний ще фізичний доступ до, наприклад, телефону співробітника.

Читайте головні IT-новини країни в нашому Telegram

По темi

Читайте головні IT-новини країни в нашому Telegram

monobank знову під кібератакою — 580 млн запитів на сервіс

По темi

monobank знову під кібератакою — 580 млн запитів на сервіс

Понад 3 млрд грн. Материнська компанія «Київстар» підрахувала збитки від російської кібератаки. Найбільше коштів пішло на відшкодування абонентам

По темi

Понад 3 млрд грн. Материнська компанія «Київстар» підрахувала збитки від російської кібератаки. Найбільше коштів пішло на відшкодування абонентам

SendPulse зазнав масштабної кібератаки. Наразі не працює відправка email-повідомлень: деталі

По темi

SendPulse зазнав масштабної кібератаки. Наразі не працює відправка email-повідомлень: деталі