28 мая, 2020

Вирусы, от которых не защитит карантин. Киберриски удаленной работы

Именно так звучит тема онлайн-конференции, организованной 28 мая ИД «Коммерсантъ», модератором которой выступил Рамаз Чиаурели – ведущий Коммерсантъ FM.

Практически все компании, продолжавшие деятельности во время пандемии коронавируса, были вынуждены часть сотрудников перевести на удаленный формат работы, а значит закрытые внутренние компьютерные сети вынужденно перестали быть таковыми. Организация удаленного доступа – это всегда риск столкнуться с киберпреступниками, которые в столь непростое время мобилизовали все свои ресурсы, чтобы поживиться за чужой счет.

В связи с этим возникает целый ряд вопросов. Есть ли шансы защитить себя от такого несанкционированного вмешательства? Спровоцировал ли биологический коронавирус аналогичную эпидемиологическую обстановку и в киберпространстве? Как ведут себя хакеры в условиях тотальной самоизоляции своих потенциальных жертв и укладывается ли статистика подобных атак в многолетние тенденции или же все-таки есть какие-то отличия в сторону их увеличения или снижения? Ответам на эти вопросы и была посвящена онлайн-конференция.

Игорь Залевский, руководитель отдела расследования инцидентов компании «Ростелеком-Солар»,рассказал о своем видении событий ИБ в условиях удаленки.

Информация о том, что многие сотрудники компаний и в мире, и в России будут работать в удаленном режиме начала появляться в середине марта. «Ростелеком-Солар» в свое время начала отслеживать количество доступных из сетей интернет сервисов, связанных с предоставлением услуг удаленного рабочего стола. По статистике это самый простой способ предоставить сотрудникам доступ работы в инфраструктуре удаленно. Для этого ничего не нужно настраивать.

«С другой стороны, с точки зрения информационной безопасности мы как эксперты, и я думаю, что коллеги нас в этом поддерживают, считаем, что это несет за собой огромный риск для компании. Почему? Потому что RDР (Remote Desktop Protocol – удаленный рабочий стол) считается входной точкой аппаратной двери в инфраструктуру любой компании. С точки зрения злоумышленников RDР атакуется двумя известными способами. Мы наблюдали только один. Первый – самый сложный. Очень хорошо, что люди учатся на своих ошибках и мы не допустили повторения ошибок таких, как это было с WannaCry. Фактически мы могли бы запустить компьютерную эпидемию, которая была бы сравнима с эпидемией коронавируса сейчас и повторить то, что случилось с WannaCry в 2017 году. Но мир ИБ, эксперты ИБ смогли предпринять определенные меры, и злоумышленники не смогли воспользоваться этой ситуацией. Я считаю, что в этом заслуга, в первую очередь, специалистов по информационной безопасности».

Второй тип атак, с которыми сталкиваются эксперты ИБ, наверное, самый известный. Но квалификация злоумышленника, использующих данный тип атак не столь высока. Речь идет об обычном подборе учетных данных. Злоумышленники методом подбора средств учетных данных получают доступ к серверу инфраструктуры компании и далее его перепродают любым другим злоумышленникам, которые могут использовать эту инфраструктуру для различных целей, например, для атак на другие компании. В этом случае такая инфраструктура становится посредником.

Часто за шифрование ресурсов и серверов средних компаний киберпреступники требуют выкуп. Соответственно если не было сделано ранее копирование каких-то данных, то приходится платить.

«С марта мы видели тенденцию по росту доступных серверов с протоколом RDP. Это значит, что компании стали переводить сотрудников на удаленку и выбирали самый простой способ – это предоставление RDP. Так, в конце марта мы зафиксировали через открытые платформы сканирования в мире доступных 3 млн серверов с открытым RDP-протоколом. Это значит, что для злоумышленника есть 3 млн целей. В России их количество гораздо меньше – около 76 тысяч. С тех пор прошло два месяца и оказалось, что с того времени количество доступных серверов в мире выросло на 900 тысяч. Т.е. эта тенденция сохраняется до сих пор – количество компаний, которые переводят сотрудников на удаленку по этому, более легкому пути, увеличивается», – подчеркивает Игорь Залевский.

При этом что «Ростелеком-Солар» как компания, предоставляющая услуги SOC, наблюдает в настоящее время?

«У наших заказчиков всего у 15-20% есть опубликованные службы RDP или удаленные рабочие столы на периметре. Я считаю, что наши заказчики зрелые и всегда идут по более сложному, но более правильному пути», – отмечает Игорь Залевский.

Между тем само увеличение количества атак, попыток подбора учетных данных начали фиксировать только с апреля. До апреля в среднем было на одного заказчика от 3 до 5 попыток подбора (в одну попытку входит от 200 до 1 тысячи уникальных пар логина и пароля). Начиная с апреля и в настоящее время в день отмечается от 5 до 12 таких попыток. Характерно, что в мае стали появляться долгие, нераспределённые попытки, т.е. атака на учетные данные может продолжаться от 2 до 4 часов без перерыва. Обычно злоумышленники стараются делать это набегами, распределённо по времени – в течение дня.

«Хочется отметить, чтобы не стать жертвой, чтобы ваша инфраструктура не была перепродана третьим лицам, при условии, что компания все-таки решает пойти на опасный шаг и делает свой периметр доступным для всех желающих, то мы рекомендуем совершить некоторые действия, которые помогут смягчить и вовремя обнаружить атаки. Естественно, советуем наблюдать за сервером в режиме 24 на 7. Это точка входа в инфраструктуру, в компанию, и вы ее создали сами. Необходимо на сервере устроить расширенное логирование. Включать уведомление обо всех входах в этот сервер. Чаще всего злоумышленники, когда подбирают учетные данные и им это удается, они стараются создать какую-то учетную запись. Поэтому вам необходимо следить за состоянием учетных записей на вашем сервере», – советует Игорь Залевский.

Согласно статистике, цена доступа на DDK-сервер инфраструктуры компании стоит от 300 до 500 рублей. Есть специализированные сайты, на которых за эти деньги можно купить доступ. Такая низкая цена обусловлена тем, что очень много предложений. Это говорит о массовой проблеме даже без пандемии. «Уверен, что за время пандемии количество таких серверов увеличится. К сожалению, наша практика говорит о том, что такая проблема наблюдается не только у небольших или средних компаний, которые не могут содержать штат специалистов по ИБ, но и у крупных организаций», – отмечает Игорь Залевский.

Смотрите также