В прошлом году мы снова были свидетелями изощренных атак, количество которых стремительно росло. Если мы посмотрим на то, что происходило в сфере безопасности в 2017 году, то мы можем увидеть ряд «уроков», которые нам необходимо выучить, особенно если мы говорим о безопасности предприятий. Эти шесть «уроков» помогут нам избежать подобных ошибок в этом году.
1. Наша реакция на инциденты также важна, как и их предотвращение
Одно из наиболее значимых событий прошлого года был инцидент с Uber. Выяснилось, что Uber скрыл факт кражи данных, принадлежащих 57 миллионам пользователей, в конце 2016 года. Как признался руководитель Uber, преступники скачали с серверов, принадлежащих компании Uber, базу данных, содержащую персональные данные пользователей (ФИО, email и номер телефона), а также данные, связанные с 600 000 водителей в США. Чтобы эта атака не стала достоянием общественности, компания заплатила хакерам порядка 100 000 долларов США.
Кража данных в Equifax стала крупнейшим взломом критически важных персональных данных в истории. Организованная группа кибер-преступников воспользовалась дырой безопасности в веб-приложении компании для кражи информации о 143 миллионах ее пользователей, получив их номера социальных страховок, почтовые адреса и даже номера водительских удостоверений.
В то время как отказ от своевременного уведомления пользователей о взломе привел к некоторым юридическим последствиям для Uber (что еще хуже, так они заплатили хакерам), то в случае с Equifax их непоследовательные заявления об уязвимости и отсутствии у них обязательств перед своими пользователями после инцидента продемонстрировали непрофессиональный подход.
Чтобы избежать подобных ситуаций, важно, чтобы обновления безопасности были частью вашей бизнес-стратегии, как и уведомление об инцидентах соответствующих органов, которое, хоть и неприятно, но должно быть первым шагом после случившегося. То, что произошло с Uber, также может преподать нам еще один «урок»: обмен регистрационными данными через код - не такая уж хорошая идея. Плохо то, что такая практика дала хакерам доступ к серверам компании, и они получили регистрационные данные благодаря коду, который разработчики Uber опубликовали на Github.
2. Атаки не только дело «рук» вредоносных программ
Не все угрозы являются шифровальщиками или вымогателями (хотя, если вы почитаете об информационной безопасности в СМИ, то может сложиться именно такое впечатление). С помощью атак, не использующих вредоносные программы, злоумышленники могут начать выдавать себя за администратора сети после того, как они получили его сетевые регистрационные данные, используя на корпоративных устройствах невредоносные утилиты. Атаки, не использующие вредоносные программы, конечно, останутся в «тренде» в 2018 году, поэтому нам бы следовало сделать для себя требуемые выводы из этих случаев.
PandaLabs обнаружила случай, в котором хакеры использовали функцию залипания клавиш для проникновения в систему через бэкдор, что позволяло получать доступ к компьютеру без необходимости введения регистрационных данных. Затем этот удаленный доступ можно использовать для извлечения прибыли, создавая онлайн-трафик, который может быть продан сторонним веб-сайтам, или продавая доступ к этим взломанным машинам. Другой пример – это использование Powershell для майнинга криптовалют.
Для борьбы с такими атаками важное значение приобретают усовершенствованные инструменты в сочетании с методами Threat Hunting, основанные на поведении пользователя. Осуществляя мониторинг корпоративной сети в реальном времени и предоставляя специалистам прозрачность всех действий, мы можем видеть, какие легитимные инструменты используются во вредоносных целях, чтобы обеспечить защиту компаний.
3. Безопасные пароли не должны быть сложны для запоминания
Несмотря на советы Билла Берра, который на протяжении многих лет определял политики создания паролей для онлайн-сред, безопасный пароль не должен быть сложным для запоминания. 2017 год показал, что даже те сложные пароли, которые сочетали в себе прописные и строчные буквы, цифры и специальные символы, очень часто могут быть подобраны с помощью компьютера. Учитывая, что поведение человека вполне предсказуемо, компьютерные алгоритмы позволяют кибер-преступникам обнаруживать слабые места и закономерности, благодаря чему они могут подбирать наши пароли.
В 2017 году мы стали свидетелями радикальных изменений в рекомендациях Национального Института Стандартов и Технологий (NIST) по созданию безопасного пароля. Теперь мы рекомендуем использовать составные предложения со случайными словами, которые мы можем достаточно легко запоминать. Таким образом, бот или компьютер не смогут взломать пароль с помощью бесчисленных комбинаций. При этом пользователь сможет достаточно легко запомнить такой пароль, хотя кибер-преступникам его будет оень сложно подобрать.
4. Вредоносные программы пытаются оставаться незамеченными
Количество вредоносных программ растет экспоненциальным образом. В прошлом году PandaLabs зарегистрировала 15 107 232 различных вредоносных файлов, которые до этого никогда не встречались. Но лишь малая их часть действительно была широко распространена. Т.е. большинство вредоносных программ меняется при каждом заражении, поэтому каждая копия имеет очень ограниченное распространение и всегда пытается оставаться незамеченной.
Имея ограниченный срок жизни, вредоносная программа атакует минимально возможное количество устройств, чтобы уменьшить риск обнаружения. В этом смысле важно выбрать современную платформу с функциями расширенной информационной безопасности для распознавания атак и реагирования на них в режиме реального времени.
5. Быстро внедрять патчи
Когда мы говорим о патчах, то здесь не бывает понятия «слишком рано». Идея заключается в том, чтобы внедрять метод действия в соответствии с характеристиками архитектуры вашей компании (ее системы, сервисы и приложения), в которой мы оцениваем последствия применения патчей (или невозможности их применения). После того как это учтено, следует действовать максимально быстро. Например, известная атака на Equifax началась в мае 2017 года, потому что они не исправили уязвимость, которая была обнаружена еще в марте.
6. Пренебрежение «теневым ИТ» может обойтись слишком дорого
Системы, решения и устройства, используемые в компании, но которые никогда не были разрешены ее ИТ-специалистами, известны как «теневое ИТ». Этот враг, оставаясь в тени, представляет собой некую «черную дыру» для корпоративной системы безопасности, т.к. очень сложно защитить то, о существовании которого ничего не известно. По данным исследования EMC, ежегодные потери от «теневого ИТ» достигают 1,7 триллионов долларов США. Таким образом, необходимо разрабатывать приемлемые политики, которые бы удовлетворяли потребности сотрудников, ограждая их от соблазна использовать несанкционированные решения. Повышение осведомленности по вопросам безопасности и анализ того, почему сотрудники переходят на приложения и утилиты, запрещенные в компании, могут даже помочь усовершенствовать рабочие процессы.
Чтобы начать год с верного решения, нам требуется усвоить «уроки» 2017 года и двигаться вперед. Количество внешних угроз продолжает увеличиваться, поэтому нам надо сделать правильные выводы из предыдущего опыта.
