💳 Trustee Plus — твоя персональна картка європейського банку: 3 хвилини і 10 євро 👉
Вікторія ГорбікВойна
31 января 2024, 11:27
2024-01-31
Что следует знать об имеющихся кибератаках, можно ли их предусмотреть и как защититься. Советы от киберэкспертов
В декабре из-за масштабной кибератаки на компания телеком-оператора «Киевстар» понесла потери примерно на $95 млн и абоненты на несколько дней остались без связи. Недавно несколько украинских компаний сообщили о кибератаках и сбоях в работе.
dev.ua спросил киберэкспертов, можно ли предусмотреть кибератаки и защититься от них, а также, что происходит в киберполе. Сегодня добавили ответы от CERT-UA и GigaCloud.
«Киевский городской экспресс «Укрзалізниці“» — «Наблюдаем временные проблемы с продажей билетов через чат-бот и терминалы Укрзалізниці из-за хакерской атаки на серверы. Работаем над исправлением ситуации и приносим свои извинения за эти неудобства», — сообщили в компании.
«ПАРКОВИЙ»
25.01.2024 12:07
О временных проблемах, возникших в связи с масштабной кибератакой, сообщил Датацентр «ПАРКОВИЙ». Атака привела к временным перебоям в нормальном функционировании сервисов. Впоследствии в компании сообщили, что после тщательной проверки подтверждена стабильная и бесперебойная работа инфраструктуры датацентра. «Все оборудование клиентов, размещенное локально в ЦОД, работает бесперебойно в штатном режиме. Все инженерные системы (климатическая система, экосистема бесперебойного питания, пожаробезопасность, охранные системы, мониторинг работы оборудования и другие) работают в штатном режиме. Что касается других сервисов датацентра: сейчас идет оценка и проверка работоспособности всех облачных сервисов. Детали объявим в ближайшее время, как только будут исчерпывающие данные от всех соответствующих служб», — говорится в сообщении.
«Нефтегаз»
25.01.2024 10:04
«Группа Нафтогаз»сообщила, что зафиксирована масштабная кибератака на один из дата-центров, который использует Газоснабжающая компания «Нафтогаз Украины». О сроках возобновления работы сервисов будет сообщено дополнительно. «В настоящее время наши вебсайты и колл-центр не работают. О сроках обновления сервисов сообщим дополнительно», — отметили в компании.
25.01.2024 10:02
Зафиксирована масштабная кибератака на один из дата-центров, который используют «ГАЗМЕРЕЖІ». «В настоящее время вебсайты филиалов национального оператора и колл-центр не работают. О сроках возобновления сервисов сообщим дополнительно», — сообщили в компании.
«Укрпошта»
25.01.2024 09:43
«Укрпошта»сообщила о значительном техническом сбое, произошедшем в IT-системах. Наши специалисты активно работают над устранением проблемы и восстановлением полноценной работы, но это может занять некоторое время. В комментарии для dev.ua компания ответила, что «Укрпошта» возобновила работу большей части сервисов в отделениях и работает над тем, чтобы минимизировать задержки в доставке в некоторых регионах. В настоящее время (17:40 25.01.2024 — прим. ред.) уже полностью восстановлена функция доставки в Винницкой, Волынской, Житомирской, Запорожской, Закарпатской, Львовской, Днепропетровской, Киевской областях. «Мы будем информировать о возобновлении постоянной работы всех услуг компании. Напомним, временные сбои в работе были вызваны информационной атакой на инфраструктуру партнеров», — говорится в сообщении компании.
«Шлях»
25.01.2024 09:43
Сообщили о техническом сбое в соцсетях «Укртрансбезопасности». «Из-за технического сбоя работы дата центра временно отсутствует доступ к Системе «Шлях» и официальному сайту «Укртрансбезопасности», — говорится в сообщении компании.
monobank
19.01.2024 23:57
«Самая мощная DDoS атака. Ситуация под контролем», — написал в Telegram Олег Гороховский, соучредитель monobank. О причинах и направлении, откуда идет атака, он не сообщил. «50 миллионов запросов. Вторая волна. Стоим!» — сообщил он через пол часа. По его словам, это была одна из самых атакованных IТ-целей в стране. «DDoS-атаки идут просто непрерывно. Как только закончилась атака общей нагрузкой 580 млн запросов на сервис», — написал Гороховский 21.01.2024 в 22:46.
Что говорят эксперты
dev.ua спросил у киберэкспертов, почему Россия активизировала хакерские атаки на предприятия, советы, чтобы защитить киберинфраструктуру, можно защититься раз и навсегда и о кибератаках и защите их компаний. Вот что нам ответили.
Сейчас не идет массовая атака на ряд государственных компаний, атака идет на 1 дата-центр, на котором государственные некомпетентные специалисты хранили «все яйца в одной корзине»:
Я бы посоветовал нашим государственным «гениям мысли» не хранить «яйца в одной корзине», и это будет совет № 1.
Совет № 2 использовать алгоритм балансировки типа roundrobin, или любые другие, для защиты от кибератак.
Совет № 3 иметь резервную инфраструктуру, на которую можно переключиться в случае отказа основной инфраструктуры.
Совет № 4 нанять компетентных специалистов по открытому рынку и назначить им рыночные зарплаты, чтобы они могли развиваться, и компетентно выполнять свои обязанности, не думая, где им найти дополнительную халтуру для того, чтобы прокормить собственную семью.
И совет № 5 не читать статьи журналистов, спрашивающих 5 советов, или 5 простых решений, имеющих по их личному мнению исправить сверхсложную ситуацию. Ибо кибербезопасность — это не простые решения, а безопасность как таковая — это состояние, процесс .
Поэтому никаких 5 пунктов в таком случае быть не может, ведь нужно менять комплексный подход к государственной кибербезопасности, начиная с того, что изменить некоторые напрасные государственные документы типа ксзи («Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе», разъяснения к которым выпустила Госспецсвязи (прим.ред.), адекватными американскими нормами типа ISO27001. Я давно говорю, что ISO27001 нужно ввести как стандарт по управлению инцидентами информационной безопасности на государственном уровне, вместо ксзи и любой ереси, которую придумывает госспецсвязь.
Осуществляла ли россия кибератаки на нашу компанию — является коммерческой тайной нашей компании. Если вы спрашиваете о HackYourMom, то да, нас недавно атаковали, мы об этом регулярно пишем у нас в канале. Но мы не делаем из того шоу, как делает некоторые государственные чиновники. Мы не рассказываем, что отбили миллион атак, когда нас атаковали, например, ранние ДДОСеры. Поэтому ответ да, HackYourMom атаковали, атакуют каждый день, но это ДДОСеры.
Насколько мы защищены покажет время и первый излом, ведь даже суперзащищенных систем, которые никто не может сломать, не существует. Вы должны понимать, что безопасность любой системы характеризуется уровнем безопасности самого слабого звена, что означает, что на «каждый хитрый болт есть болт хитрее».
Мы не говорим, что самые умные в мире, мы говорим, что выполняем ряд системных действий, для того чтобы увеличить стоимость взлома нас настолько, что ломать систему будет не рентабельно. Ведь информация, которую потенциальные взломщики могут добыть в результате взлома, не стоит тех средств, которые будут потрачены на взлом системы. Что делает взлом бессмысленным.
Чтобы защитить киберинфраструктуру, необходимо соответствующее оборудование, квалифицированные специалисты и восприятие серьезных советов теми людьми, кто принимает решения.
Во-первых, нужно привлечь для киберзащиты действительно квалифицированных специалистов. Без этого не будет вообще ничего дальше. Это базовый фундамент. Я понимаю, что государство не хочет платить рыночные зарплаты, а ограничения государственной службы пугают тех же квалифицированных специалистов. Возможно, отдача киберзащиты государства на аутсорс частным компаниям будет являться решением. Но платить дорогим специалистам так или иначе даже выше рынка все равно придется.
Во-вторых, нужно предоставить тем специалистам соответствующие полномочия по сотрудничеству с госорганами. Потому что иначе госслужащие будут просто игнорировать советы специалистов кибербезопасности, потому что эти советы, конечно, добавляют им работы.
В-третьих, нужно обеспечить киберзащитников соответствующим оборудованием, каналами связи, доступом в интернет. К счастью, это то, с чем, на мой взгляд, все относительно хорошо. В отличие от необходимости выплаты соответствующих зарплат, должностные лица понимают необходимость закупки специализированного оборудования, деньги на это выделяются, и партнеры из развитых стран помогают. Единственное, что нужно — чтобы закупалось именно то оборудование и ресурсы, о которых скажут люди с первого пункта, именно в том количестве.
Четвертое (пятое, шестое, седьмое…) — это обучение пользователей. Что нельзя писать пароли на наклейке и наклеивать это прямо на монитор. Почему Qwerty никогда не может быть паролем. Почему нельзя открывать присланные неизвестно кем файлы и ссылки, что такое электронная подпись и как использовать ее в повседневной работе — вот все… Потому что в 99% случаев излом инициируется именно через пользователя.
Пятым пунктом следует поставить планы восстановления, если атака все же была успешной. Это и прописанный алгоритм действий, и несколько резервных копий информации в разных местах, в том числе не подключенных к сети, и заранее настроенная защита от ДДоСов.
Наша компания, как и, пожалуй, все остальные, постоянно под кибератаками, в том числе из России, просто несколько раз в день что-то пробуют: то фишинг, то ДДоС, то социальную инженерию, то сканирование сервисов… Пока наши работники держат киберфронт, и ни одна атака не достигла цели. Надеюсь, так будет и дальше.
За это время мы наработали как организационные вопросы, так и технические аспекты плана реагирования на DDOS, что позволяет эффективно противодействовать атакам. Поэтому и в этом случае клиенты фактически не испытывают последствия таких атак на ресурсы банка. Во время войны наиболее мощные DDOS-атаки на банк, как и ряд других банков, были проведены за несколько дней до начала полномасштабного вторжения и несколько дней после. Эти атаки удалось отразить без влияния на работу основных сервисов банка.
Последние несколько лет те DDOS-атаки, которые осуществлялись на банк, благодаря продуманной реализации анти-DDOS политики, не влияли на непрерывность и безопасность функционирования сервисов и услуг банка. Отдельно следует отметить, что за это время были случаи, когда DDOS-атаки осуществлялись на партнеров банка, что в результате приводило к частичной недоступности некоторых сервисов банка, которые зависят от партнеров. Но и для таких случаев мы принимаем соответствующие меры — наши специалисты оказывают партнерам техническую консультативную помощь по анти-DDOS сервисам и их настройке, прорабатываем порядок оповещения об атаке и т. д. Все это позволяет минимизировать последствия даже косвенной DDOS-атаки.
От продуманной и сверхмощной DDOS-атаки очень сложно защититься. Поэтому, в этом случае, как и для противодействия другим угрозам, нужно пытаться реализовать один из принципов кибербезопасности — сделать таким образом чтобы стоимость атаки для злоумышленников, то есть ресурсы, которые необходимо вложить в ее реализацию, были значительно выше, чем выгода от самой атаки. Для этого необходимо заблаговременно готовиться как организационно — иметь соответствующих специалистов, план реагирования на регулярно тестируемый DDOS-атаки, так и технически. Сегодня в Украине доступны анти-DDOS сервисы, которые даже в бесплатном или минимальном по стоимости пакетах предлагают относительно эффективную защиту. Даже дефолтные правила таких сервисов позволяют защититься от 99% «обычных» уголовников, требующих средства у жертвы за прекращение атаки. Безусловно, для корпоративного бизнеса такой подход будет недостаточным, необходимо приобрести и настроить, с учетом технологий, реализуемых в интернет-ресурсах, более мощные анти-DDOS сервисы, работать с телекоммуникационными провайдерами для задействования оборудования уровня провайдера против DDOS-атак и т. д.
Как защитить киберинфраструктуру:
1. Обучение и осведомленность — существует такое выражение — ваша система система киберзащиты настолько мощна, насколько силен самый слабый ее компонент — обычный сотрудник. Очень важно обучать обычных специалистов, как соблюдать правила кибергигиены, ведь очень часто именно они становятся точкой входа для злоумышленников. Навыки кибергигиены крайне важны.
Почти 100% успешных кибератак успешны из-за человеческого фактора. Большое количество кибератак происходит по вине сотрудников. Кто-то открыл спам-лист и оставил данные от своей рабочей учетной записи злоумышленникам. Злоумышленники подделали письмо с счетом вашему бухгалтеру, а он не проверил, и компания потеряла деньги, ваш системный администратор забыл вовремя установить обновление ПО и т. д. Кибербезопасность и киберзащита это прежде всего понимание людей, что это важно.
С целью недопущения повторения подобных инцидентов в будущем CERT-UA готовит и размещает на своем официальном веб-сайте рекомендаций по противодействию современным видам кибератак и киберугроз. В частности, считаем нужным поделиться статьей о типичных слабых местах и соответствующих мерах киберзащиты.
2. Инвестиции в киберзащиту — иногда кому-то может показаться, что существенные инвестиции в кибербезопасность не являются необходимостью. Раньше и в Украине многие так думали. После ряда разрушительных атак наше государство и частично бизнес стали гораздо серьезнее относиться к вызовам в киберпространстве.
Сейчас россия и контролируемые ею хакеры готовятся к продолжительной борьбе против Украины и Запада и привлекают все больше специалистов. Они используют передовые технологии для создания более сложных сценариев атак.
Такая эскалация сложности атак подчеркивает необходимость для организаций постоянно совершенствовать свою защиту от киберугроз, чтобы оставаться на шаг впереди новых угроз.
3. Обмен опытом — для противостояния угрозам в киберпространстве очень важно быстро обмениваться данными об угрозах, индикаторах компрометации, уязвимости. Всем, что видим и знаем мы, мы сразу делимся с партнерами, поэтому они могут быстро реагировать на угрозу. Так же поступают и они. Это помогает отразить очень много мощных атак. На уровне компаний это тоже должны быть постоянные учения, обмен опытом и т. д.
4. Резервирование данных — способности по противодействию в киберпространстве можно разделить на две основные части: предупреждение кибератак и скорость восстановления, если предупредить не удалось. Быстрое восстановление после атаки не менее важно, чем их предупреждение. Вся информация должна быть зарезервирована и защищена от атак противника.
5. Не бояться обращаться в профильные органы за помощью — в Украине существует проблема, чтобы бизнесы, например, не всегда обращаются, даже когда есть проблема и приходят только в тот момент, когда уже поздно. Выходит, что доверие нарабатывается, но иногда дорогой ценой.
Война в Украине четко продемонстрировала, что государство и бизнес должны быть партнерами и эффективно работать вместе. И это вопрос совместной защиты: атака на государственные ресурсы может распространиться на бизнес, а проникновение в информационные системы частных компаний может представлять серьезную угрозу для государственных органов, пользующихся программными продуктами такой компании.
Защититься от кибератак раз и навсегда невозможно, но есть способы минимизировать вред, который они могут нанести или вообще свести на нет.
Залог устойчивости бизнеса в трудные времена — это построение отказоустойчивой IT-инфраструктуры. Для этого мы и другие облачные операторы предоставляем ряд сервисов. Один из них — BaaS. Сервис позволяет производить резервные копии и хранить их в репозитории облачного оператора. Не зря говорят, что не следует «держать яйца в одной корзине», то есть хранить все критически важное количество сервисов и данных вместе с резервными копиями в одном месте. Их нужно размещать на разных площадках, физических или облачных. Кроме того, GigaCloud предлагает облачный сервис DRaaS (Disaster Recovery as a Service) для аварийного возобновления работы IT-инфраструктуры на резервной площадке, размещённой на мощностях облачного оператора. Инфраструктура клиента работает в облаке или на собственном оборудовании и через определенный промежуток времени копируется в облако GigaCloud. Но если основная площадка клиента становится частично или полностью недоступна, то в работу включается резервная инфраструктура. Так даже после мощнейшей хакерской атаки бизнес сможет продолжить работать без простой и репутационных потерь.
В общем, очень важно сегментировать сеть. Потенциально уязвимые сервисы должны размещаться отдельно от критических. Это как в больнице — пациент с вирусным заболеванием должен быть в отдельной палате, чтобы вирус не распространялся. Так и сегментация сети обеспечивает разделение сетей разного назначения, что значительно снижает риск проникновения.
Также не следует забывать об информационной гигиене внутри компании. Большинство атак происходит именно из-за ошибок сотрудников. Так, например, с помощью элементарного интернет-ОСINT можно обнаружить и нужных людей, и их слабые места, и необходимые точки «виртуального входа» в компанию. Подробно ОSINT-разведку мы разбирали на примере издания dev.ua.
Нередко масштабные утечки информации являются результатом элементарного фишинга среди сотрудников. О мерах предупреждения таких инцидентов мы рассказывали здесь.
Кроме информационной гигиены защититься от фишинга помогает двухфакторная аутентификация. Это один из самых главных и лучших средств защиты. При утечке логина и пароля сотрудника злоумышленник не проникнет в сеть, ибо ему будет необходим еще физический доступ к, например, телефону сотрудника.
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
В прошлом месяце, когда политики и эксперты только обсуждали возможность физического вторжения РФ на территорию Украины, гибридная война уже началась.
Я не розумію, чому ви запитуєте про думку цих експертів. Андрій Баранович який себе також називає Шон Таунсенд, не хакер, а клоун, такий самий, як Микита Книш. Коли взломали Київстар, Баранович стверджував, що жодного взлому не було. І лише потім СБУ підтвердила взлом. Зараз багато ресурсів не працює, що свідчить, ймовірно, про те, що взломали провайдера. Однак Баранович знову намагається натякати на ДДОС. І пише дурниці про BGP, що тільки доказує його неграмостність в цій області. І члмусь всі експерти, це люди з одного політічного руху
Я не розумію, чому ви запитуєте про думку цих експертів. Андрій Баранович який себе також називає Шон Таунсенд, не хакер, а клоун, такий самий, як Микита Книш. Коли взломали Київстар, Баранович стверджував, що жодного взлому не було. І лише потім СБУ підтвердила взлом. Зараз багато ресурсів не працює, що свідчить, ймовірно, про те, що взломали провайдера. Однак Баранович знову намагається натякати на ДДОС. І пише дурниці про BGP, що тільки доказує його неграмостність в цій області. І члмусь всі експерти, це люди з одного політічного руху