Что следует знать об имеющихся кибератаках, можно ли их предусмотреть и как защититься. Советы от киберэкспертов

Что говорят эксперты

dev.ua спросил у киберэкспертов, почему Россия активизировала хакерские атаки на предприятия, советы, чтобы защитить киберинфраструктуру, можно защититься раз и навсегда и о кибератаках и защите их компаний. Вот что нам ответили.

Сейчас не идет массовая атака на ряд государственных компаний, атака идет на 1 дата-центр, на котором государственные некомпетентные специалисты хранили «все яйца в одной корзине»:

1. Я бы посоветовал нашим государственным «гениям мысли» не хранить «яйца в одной корзине», и это будет совет № 1.
2. Совет № 2 использовать алгоритм балансировки типа roundrobin, или любые другие, для защиты от кибератак.
3. Совет № 3 иметь резервную инфраструктуру, на которую можно переключиться в случае отказа основной инфраструктуры.
4. Совет № 4 нанять компетентных специалистов по открытому рынку и назначить им рыночные зарплаты, чтобы они могли развиваться, и компетентно выполнять свои обязанности, не думая, где им найти дополнительную халтуру для того, чтобы прокормить собственную семью.
5. И совет № 5 не читать статьи журналистов, спрашивающих 5 советов, или 5 простых решений, имеющих по их личному мнению исправить сверхсложную ситуацию. Ибо кибербезопасность — это не простые решения, а безопасность как таковая — это состояние, процесс .

Поэтому никаких 5 пунктов в таком случае быть не может, ведь нужно менять комплексный подход к государственной кибербезопасности, начиная с того, что изменить некоторые напрасные государственные документы типа ксзи («Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе», разъяснения к которым выпустила Госспецсвязи (прим.ред.), адекватными американскими нормами типа ISO27001. Я давно говорю, что ISO27001 нужно ввести как стандарт по управлению инцидентами информационной безопасности на государственном уровне, вместо ксзи и любой ереси, которую придумывает госспецсвязь.

Осуществляла ли россия кибератаки на нашу компанию — является коммерческой тайной нашей компании. Если вы спрашиваете о HackYourMom, то да, нас недавно атаковали, мы об этом регулярно пишем у нас в канале. Но мы не делаем из того шоу, как делает некоторые государственные чиновники. Мы не рассказываем, что отбили миллион атак, когда нас атаковали, например, ранние ДДОСеры. Поэтому ответ да, HackYourMom атаковали, атакуют каждый день, но это ДДОСеры.

Насколько мы защищены покажет время и первый излом, ведь даже суперзащищенных систем, которые никто не может сломать, не существует.
Вы должны понимать, что безопасность любой системы характеризуется уровнем безопасности самого слабого звена, что означает, что на «каждый хитрый болт есть болт хитрее».

Мы не говорим, что самые умные в мире, мы говорим, что выполняем ряд системных действий, для того чтобы увеличить стоимость взлома нас настолько, что ломать систему будет не рентабельно. Ведь информация, которую потенциальные взломщики могут добыть в результате взлома, не стоит тех средств, которые будут потрачены на взлом системы. Что делает взлом бессмысленным.

Чтобы защитить киберинфраструктуру, необходимо соответствующее оборудование, квалифицированные специалисты и восприятие серьезных советов теми людьми, кто принимает решения.

Если «роль кибербезопасности в современном мире немного преувеличена» © министр цифровой трансформации Михаил Федоров, тогда будем иметь со временем еще худшие последствия. Потому что враг учится и очень успешно и быстро.

1. Во-первых, нужно привлечь для киберзащиты действительно квалифицированных специалистов. Без этого не будет вообще ничего дальше. Это базовый фундамент. Я понимаю, что государство не хочет платить рыночные зарплаты, а ограничения государственной службы пугают тех же квалифицированных специалистов. Возможно, отдача киберзащиты государства на аутсорс частным компаниям будет являться решением. Но платить дорогим специалистам так или иначе даже выше рынка все равно придется.
2. Во-вторых, нужно предоставить тем специалистам соответствующие полномочия по сотрудничеству с госорганами. Потому что иначе госслужащие будут просто игнорировать советы специалистов кибербезопасности, потому что эти советы, конечно, добавляют им работы.
3. В-третьих, нужно обеспечить киберзащитников соответствующим оборудованием, каналами связи, доступом в интернет. К счастью, это то, с чем, на мой взгляд, все относительно хорошо. В отличие от необходимости выплаты соответствующих зарплат, должностные лица понимают необходимость закупки специализированного оборудования, деньги на это выделяются, и партнеры из развитых стран помогают. Единственное, что нужно — чтобы закупалось именно то оборудование и ресурсы, о которых скажут люди с первого пункта, именно в том количестве.
4. Четвертое (пятое, шестое, седьмое…) — это обучение пользователей. Что нельзя писать пароли на наклейке и наклеивать это прямо на монитор. Почему Qwerty никогда не может быть паролем. Почему нельзя открывать присланные неизвестно кем файлы и ссылки, что такое электронная подпись и как использовать ее в повседневной работе — вот все… Потому что в 99% случаев излом инициируется именно через пользователя.
5. Пятым пунктом следует поставить планы восстановления, если атака все же была успешной. Это и прописанный алгоритм действий, и несколько резервных копий информации в разных местах, в том числе не подключенных к сети, и заранее настроенная защита от ДДоСов.

Наша компания, как и, пожалуй, все остальные, постоянно под кибератаками, в том числе из России, просто несколько раз в день что-то пробуют: то фишинг, то ДДоС, то социальную инженерию, то сканирование сервисов… Пока наши работники держат киберфронт, и ни одна атака не достигла цели. Надеюсь, так будет и дальше.

За это время мы наработали как организационные вопросы, так и технические аспекты плана реагирования на DDOS, что позволяет эффективно противодействовать атакам. Поэтому и в этом случае клиенты фактически не испытывают последствия таких атак на ресурсы банка. Во время войны наиболее мощные DDOS-атаки на банк, как и ряд других банков, были проведены за несколько дней до начала полномасштабного вторжения и несколько дней после. Эти атаки удалось отразить без влияния на работу основных сервисов банка.

 Последние несколько лет те DDOS-атаки, которые осуществлялись на банк, благодаря продуманной реализации анти-DDOS политики, не влияли на непрерывность и безопасность функционирования сервисов и услуг банка. Отдельно следует отметить, что за это время были случаи, когда DDOS-атаки осуществлялись на партнеров банка, что в результате приводило к частичной недоступности некоторых сервисов банка, которые зависят от партнеров. Но и для таких случаев мы принимаем соответствующие меры — наши специалисты оказывают партнерам техническую консультативную помощь по анти-DDOS сервисам и их настройке, прорабатываем порядок оповещения об атаке и т. д. Все это позволяет минимизировать последствия даже косвенной DDOS-атаки. 

От продуманной и сверхмощной DDOS-атаки очень сложно защититься. Поэтому, в этом случае, как и для противодействия другим угрозам, нужно пытаться реализовать один из принципов кибербезопасности — сделать таким образом чтобы стоимость атаки для злоумышленников, то есть ресурсы, которые необходимо вложить в ее реализацию, были значительно выше, чем выгода от самой атаки. Для этого необходимо заблаговременно готовиться как организационно — иметь соответствующих специалистов, план реагирования на регулярно тестируемый DDOS-атаки, так и технически. Сегодня в Украине доступны анти-DDOS сервисы, которые даже в бесплатном или минимальном по стоимости пакетах предлагают относительно эффективную защиту. Даже дефолтные правила таких сервисов позволяют защититься от 99% «обычных» уголовников, требующих средства у жертвы за прекращение атаки. Безусловно, для корпоративного бизнеса такой подход будет недостаточным, необходимо приобрести и настроить, с учетом технологий, реализуемых в интернет-ресурсах, более мощные анти-DDOS сервисы, работать с телекоммуникационными провайдерами для задействования оборудования уровня провайдера против DDOS-атак и т. д.

Как защитить киберинфраструктуру:

1. Обучение и осведомленность — существует такое выражение — ваша система система киберзащиты настолько мощна, насколько силен самый слабый ее компонент — обычный сотрудник. Очень важно обучать обычных специалистов, как соблюдать правила кибергигиены, ведь очень часто именно они становятся точкой входа для злоумышленников. Навыки кибергигиены крайне важны.

Почти 100% успешных кибератак успешны из-за человеческого фактора. Большое количество кибератак происходит по вине сотрудников. Кто-то открыл спам-лист и оставил данные от своей рабочей учетной записи злоумышленникам. Злоумышленники подделали письмо с счетом вашему бухгалтеру, а он не проверил, и компания потеряла деньги, ваш системный администратор забыл вовремя установить обновление ПО и т. д. Кибербезопасность и киберзащита это прежде всего понимание людей, что это важно.

С целью недопущения повторения подобных инцидентов в будущем CERT-UA готовит и размещает на своем официальном веб-сайте рекомендаций по противодействию современным видам кибератак и киберугроз. В частности, считаем нужным поделиться статьей о типичных слабых местах и соответствующих мерах киберзащиты.

2. Инвестиции в киберзащиту — иногда кому-то может показаться, что существенные инвестиции в кибербезопасность не являются необходимостью. Раньше и в Украине многие так думали. После ряда разрушительных атак наше государство и частично бизнес стали гораздо серьезнее относиться к вызовам в киберпространстве.

Сейчас россия и контролируемые ею хакеры готовятся к продолжительной борьбе против Украины и Запада и привлекают все больше специалистов. Они используют передовые технологии для создания более сложных сценариев атак.

Такая эскалация сложности атак подчеркивает необходимость для организаций постоянно совершенствовать свою защиту от киберугроз, чтобы оставаться на шаг впереди новых угроз.

3. Обмен опытом — для противостояния угрозам в киберпространстве очень важно быстро обмениваться данными об угрозах, индикаторах компрометации, уязвимости. Всем, что видим и знаем мы, мы сразу делимся с партнерами, поэтому они могут быстро реагировать на угрозу. Так же поступают и они. Это помогает отразить очень много мощных атак. На уровне компаний это тоже должны быть постоянные учения, обмен опытом и т. д.

4. Резервирование данных — способности по противодействию в киберпространстве можно разделить на две основные части: предупреждение кибератак и скорость восстановления, если предупредить не удалось. Быстрое восстановление после атаки не менее важно, чем их предупреждение. Вся информация должна быть зарезервирована и защищена от атак противника.

5. Не бояться обращаться в профильные органы за помощью — в Украине существует проблема, чтобы бизнесы, например, не всегда обращаются, даже когда есть проблема и приходят только в тот момент, когда уже поздно. Выходит, что доверие нарабатывается, но иногда дорогой ценой.

Война в Украине четко продемонстрировала, что государство и бизнес должны быть партнерами и эффективно работать вместе. И это вопрос совместной защиты: атака на государственные ресурсы может распространиться на бизнес, а проникновение в информационные системы частных компаний может представлять серьезную угрозу для государственных органов, пользующихся программными продуктами такой компании.

Защититься от кибератак раз и навсегда невозможно, но есть способы минимизировать вред, который они могут нанести или вообще свести на нет.

Залог устойчивости бизнеса в трудные времена — это построение отказоустойчивой IT-инфраструктуры. Для этого мы и другие облачные операторы предоставляем ряд сервисов. Один из них — BaaS. Сервис позволяет производить резервные копии и хранить их в репозитории облачного оператора. Не зря говорят, что не следует «держать яйца в одной корзине», то есть хранить все критически важное количество сервисов и данных вместе с резервными копиями в одном месте. Их нужно размещать на разных площадках, физических или облачных.
Кроме того, GigaCloud предлагает облачный сервис DRaaS (Disaster Recovery as a Service) для аварийного возобновления работы IT-инфраструктуры на резервной площадке, размещённой на мощностях облачного оператора. Инфраструктура клиента работает в облаке или на собственном оборудовании и через определенный промежуток времени копируется в облако GigaCloud. Но если основная площадка клиента становится частично или полностью недоступна, то в работу включается резервная инфраструктура. Так даже после мощнейшей хакерской атаки бизнес сможет продолжить работать без простой и репутационных потерь.

В общем, очень важно сегментировать сеть. Потенциально уязвимые сервисы должны размещаться отдельно от критических. Это как в больнице — пациент с вирусным заболеванием должен быть в отдельной палате, чтобы вирус не распространялся. Так и сегментация сети обеспечивает разделение сетей разного назначения, что значительно снижает риск проникновения.

Также не следует забывать об информационной гигиене внутри компании. Большинство атак происходит именно из-за ошибок сотрудников. Так, например, с помощью элементарного интернет-ОСINT можно обнаружить и нужных людей, и их слабые места, и необходимые точки «виртуального входа» в компанию. Подробно ОSINT-разведку мы разбирали на примере издания dev.ua.

Нередко масштабные утечки информации являются результатом элементарного фишинга среди сотрудников. О мерах предупреждения таких инцидентов мы рассказывали здесь.

Кроме информационной гигиены защититься от фишинга помогает двухфакторная аутентификация. Это один из самых главных и лучших средств защиты. При утечке логина и пароля сотрудника злоумышленник не проникнет в сеть, ибо ему будет необходим еще физический доступ к, например, телефону сотрудника.

Материал дополняется.

Читайте главные IT-новости страны в нашем Telegram

По теме

Читайте главные IT-новости страны в нашем Telegram

monobank снова под кибератакой — 580 млн запросов на сервис

По теме

monobank снова под кибератакой — 580 млн запросов на сервис

Более 3 млрд. грн. Материнская компания «Киевстар» подсчитала ущерб от российской кибератаки. Больше всего средств пошло на возмещение абонентам

По теме

Более 3 млрд. грн. Материнская компания «Киевстар» подсчитала ущерб от российской кибератаки. Больше всего средств пошло на возмещение абонентам

SendPulse испытал масштабную кибератаку. Пока не работает отправка email-сообщений: детали

По теме

SendPulse испытал масштабную кибератаку. Пока не работает отправка email-сообщений: детали