По данным «Инфосистемы Джет», в 76% случаях цель хакерских атак на бизнес - не шантаж или грабеж, а цифровой вандализм. Хакеры стремятся полностью уничтожить цифровую инфраструктуру корпоративной жертвы. В 44% случаев - это действия шифровальщиков, и в 32% - атаки вайперов. Об этом было заявлено в рамках митапа Network Scream.
Принцип подлодки
Network Scream, организованный компанией «Инфосистемы Джет», был посвящен построению адаптивных и отказоустойчивых IT-инфраструктур. По оценкам экспертов компании, современный ландшафт киберугроз претерпел фундаментальные изменения, переходя от простой финансовой наживы к тотальному уничтожению цифровых активов. Если раньше хакеры стремились монетизировать взлом через шантаж, то теперь их действия всё чаще напоминают вандализм. Их основной задачей является вывод систем из строя без надежды на восстановление.
«Если раньше злоумышленники приходили «грабить», то сегодня в 76% случаев их цель - уничтожение. Речь идёт о деструктивных инцидентах: шифровальщиках и вайперах. Да, атаки с целью выкупа ещё случаются, но их стало заметно меньше. Сейчас мы наблюдаем тенденцию к полному уничтожению инфраструктуры, своего рода цифровому вандализму со стороны хакеров», - отметил руководитель группы сетевой безопасности Александр Копылов.
По его мнению, этот фактор меняет подход к информационной безопасности. Задача ИБ-специалистов теперь заключается не столько в том, чтобы не допустить взлома. «Мы исходим из того, что нас взломают так или иначе. Поэтому задача состоит в том, как сделать, чтобы одна хакерская «пробоина» не потопила весь корпоративный «корабль». Здесь на помощь приходит концепция антихрупкой архитектуры», - пояснил Александр Копылов.
Концепция антихрупкой архитектуры напоминает принцип, который применяется при проектировании подводной лодки - изолированность отсеков. ИБ-архитектура должна быть сегментирована таким образом, чтобы поражение одного участка («пробоина в отсеке») не влияло на плавучесть и работу всего корпоративного «корабля». Изоляция сегментов позволяет локализовать атаку и остановить её распространение по сети. Даже при выходе из строя значительной части цифровых активов, ключевая инфраструктура обязана сохранять управляемость и минимально необходимую работоспособность.
В этой связи, по словам Александра Копылова, основной успех кибербезопасности компании сегодня заключается не отсутствие «пробоин», а в способности системы не утонуть при их наличии. Поскольку хакеры уделяют приоритетное внимание уничтожению путей восстановления, защита резервных копий становится критической задачей любой компании. Атакующие могут находиться в сети потенциальной жертвы скрытно долгое время, собирая информацию о системе бэкапов. Атака начинается именно с уничтожения архивов, чтобы жертве не из чего было восстанавливаться. Это делает пути отхода главной целью диверсии.
«Современные профессиональные атакующие понимают: мало просто проникнуть в систему. Нужно уничтожить пути к отступлению. Поэтому в первую очередь они охотятся за резервными копиями (бэкапами). Нам просто не из чего будет восстанавливаться», - считает эксперт.
Что делать?
Именно поэтому критически важны следующие меры. Во-первых, использование воздушных зазоров (air gap) - физически изолированных от сети хранилищ данных, к которым невозможно получить удаленный доступ. Во-вторых, применение технологий, запрещающих удаление или модификацию записанных данных в течение определенного периода. В-третьих, разграничение прав доступа. Это предполагает реализацию правила, согласно которому резервная копия не может быть удалена тем же пользователем или тем же способом доступа, который используется для работы с боевыми данными. Системный администратор не должен обладать полномочиями на уничтожение архивов одним кликом.
В-четвертых, не забывать и о правиле «3-2-1»: о создании как минимум трех копий данных на двух разных типах носителей, одна из которых хранится удаленно. Наконец, проведение регулярного тестирования. Наличие бэкапа не гарантирует восстановление. Необходимо проводить регулярные проверки на целостность данных и отсутствие «спящих закладок».
«Критерий истины - практика. Необходимо регулярно проводить пентесты бэкапов, чтобы убедиться в отсутствии «спящих закладок». Хакеры часто оставляют вредоносный код, который может месяцами «спать» в бэкапах или исходном коде и активироваться по определённому триггеру, как часовая бомба. Плюс проведение Bug Bounty. Привлечение исследователей безопасности для поиска уязвимостей позволяет на деле проверить метрику - сколько стоит нас взломать», - добавил Александр Копылов.
Иными словами эксперты «Инфосистемы Джет» рекомендуют компаниям менять ИБ-приоритеты. Фокусироваться на живучести системы («антихрупкости»), а не на создании «непробиваемой» стены. Сегментировать корпоративную сеть так, чтобы взлом одного отдела не привел к параличу всей компании. Защищать бэкапы «как святыню». Тестировать восстановление, проводя полные восстановительные работы регулярно, это позволяет гарантировать чистоту данных от хакерских закладок.
Напомним, программы Bug Bounty - это выплата вознаграждений этичным хакерам за нахождение брешей. Участие сторонних специалистов дает понимание фактической защищенности системы и ресурсов, необходимых для её компрометации.
Фото: TelecomDaily.