Как компаниям в Узбекистане противостоять кибератакам и реагировать на них?

В современном мире зависимости компаний от технологий растет число киберугроз и, как следствие, необходимость защиты от них. Киберугрозы, будь то случайные или преднамеренные, могут поставить под удар инфраструктуры государственных органов, предприятий и организаций, бизнес и даже человеческие жизни. В настоящее время среди различных вредоносных программ, наносящими наибольший вред, являются программы-вымогатели. Программа-вымогатель блокирует доступ к информационным системам или базам данных, парализует важные бизнес-процессы, затем требует выкуп для восстановления исходного состояния, вымогая у крупных и малых предприятий огромные суммы, в том числе в криптовалюте.

По данным аналитического агентства Chainalysis, в 2020 году размер ущерба от вымогательств, связанных с использованием программ-вымогателей, достиг рекордных $406 млн, тогда как в 2019 году этот показатель составлял $92,9 млн. По состоянию на май 2021 года, сумма в криптовалютных платежах достигла примерно $81 млн.

Одна из наиболее крупных и известных атак, связанных с программами вымогателями, произошла в мае 2021 года. В результате атаки у компании Colonial Pipeline, оператора крупнейшей в США трубопроводной системы, были нарушены поставки нефти и газа на территории США. Компания заплатила около 5 млн долл. США в биткоинах, чтобы разблокировать свою сеть.

Кабиржон Ташпулатов, эксперт в области кибербезопасности Группы технологического консультирования КПМГ в Узбекистане отмечает следующее:

«Широкое распространение таких атак во всем мире можно объяснить большим размером выкупа, запрашиваемым злоумышленниками и низким уровнем требуемых квалификаций к ее реализации. Отсутствие публикаций в узбекистанских СМИ об осуществлении подобных атак на территории Узбекистана не говорит о том, что операторы программ-вымогателей обходят её стороной. Вероятно, пострадавшие организации просто не хотят придавать огласке подобную информацию.

К сожалению, на сегодняшний день общий уровень кибербезопасности большинства организаций в Узбекистане остается невысоким. Учитывая тот факт, что наиболее популярным методом проникновения в сетевые инфраструктуры компаний является компрометация публично доступных протоколов удаленного доступа (RDP) и рассылка писем через электронную почту, то зачастую их можно было бы предотвратить инструментами двухфакторной аутентификации и проведением тренингов по противодействию фишинговых атак для сотрудников компаний.»

По мере того, как количество подобных кибератак увеличивается, специалистами по информационной безопасности разрабатываются различные инструменты и механизмы, направленные на противодействие им, а также обеспечение безопасности и управление рисками, в целом. Далее рассмотрим два ключевых этапа по борьбе с киберугрозами.

С чего начать?

Подготовительный этап направлен на формирование стратегии обеспечения безопасности технологий и определения возможностей компании в борьбе с современными киберугрозами. Для того, чтобы понять текущее состояния, установить базовый уровень защищенности, выработать механизмы (процессы) выявления угроз и внедрения средств контроля и защиты от атак, необходимо ответить на 7 ключевых вопросов:

1. Определили ли вы риски кибербезопасности, которым подвержена ваша корпоративная сеть и активно ли вы работаете над их снижением?

Оценка рисков безопасности ИКТ-инфраструктуры в сочетании с оценкой зрелости кибербезопасности операционной деятельности может предоставить руководству высокоуровневое представление о том, что необходимо решить как на техническом уровне, так и на уровне управления.

2. Проводили ли вы инвентаризацию активов, расположенных в вашей корпоративной сети? Как часто проводится инвентаризация?

Наличие подробной и полной инвентаризации активов является жизненно важным для создания актуальной и полной картины вашей корпоративной сети, а также четкого понимания того, какие активы уязвимы для современных угроз.

3. Каков уровень интеграции (взаимосвязанности) между ИТ-активами компании и корпоративной сетью?

Программы-вымогатели обычно распространяются по всей сети, которую они атакуют. Поэтому для защиты критически важных активов и тех, которые больше не поддерживают обновления, необходимо изолировать их друг от друга. Успешная сегментация может ограничить распространение программ-вымогателей. Создавая зоны и каналы, можно тщательно контролировать связь между активами, ограничиваясь только необходимыми коммуникациями между активами и корпоративной сетью.

4. Как осуществляется управление удаленным доступом?

Безопасный удаленный доступ является важным элементом, когда речь идет об обслуживании и администрировании информационных систем (активов) на расстоянии, особенно в период ограничений, связанных с COVID. К распространенным типам удаленного доступа относятся протокол удаленного рабочего стола (RDP) и виртуальная частная сеть (VPN). Необходимо отметить, что оба типа соединения являются основными векторами кибератак.

5. Имеется ли надежный механизм резервного копирования и периодической проверки бэкапов на целостность?

Даже при реализации вышеописанных мер, программа-вымогатель может проникнуть в ИТ-активы. Как только это произойдет, единственным вариантом восстановления этих активов, помимо оплаты выкупа, является восстановление резервной копии.

Организациям следует рассмотреть типы активов, для которых необходимо создавать резервные копии, учитывая при этом, подключены ли эти ИТ-активы к сети или являются автономными.

6. Какие имеются процедуры для реагирования на инциденты?

Необходимо иметь процедуру технического обслуживания, в процессе которой выявлять уязвимости и соответствии с требованиями системы ИБ. Активы, считающиеся критическими, должны восстанавливаться в кратчайшие сроки. Если актив имеет низкую критичность, то исправления могут быть применены при очередном (периодическом) техническом обслуживании.

7. Какие решения используются для защиты корпоративной сети от различных атак?

Системы обнаружения вторжений (IDS) могут проверять и отслеживать сетевой трафик на предмет вредоносной активности, включая программы-вымогатели. Средство обнаружения должно быть подключено к средству управления инцидентами и событиями безопасности (SIEM), где регистрируются инциденты из множества источников, включая брандмауэры, активы и средства удаленного доступа. SIEM должен иметь функцию предупреждения ответственной команды о реагировании на инцидент.

Реагирование на инцидент и принятие контрмер

Данный этап направлен на то, чтобы компания была готова к возникновению потенциального инцидента, который может привести к нарушению критически важных процессов.

Здесь компании необходимо ответить на вопросы о том, возможно ли изолировать зараженные области сети, об автономном управлении сетью, обнародовании инцидента, возникновении чрезвычайных ситуаций, а также о привлечении правоохранительных органов.

Как и в любом деле, защита и предотвращение киберугроз требует практики, поэтому расширяйте не только теоретическую базу знаний, но и проводите «репетиции» в компании. Чем тщательнее вы подготовлены и чем чаще вы организуете тренинги по реагированию на инциденты, тем меньше ущерб, который может нанести эта угроза.