Защита данных и противостояние киберугрозам. Как избежать финансовых и репутационных потерь

Защита данных и противостояние киберугрозам. Как избежать финансовых и репутационных потерь

Возможность ведения бизнеса с использованием облачных сервисов и аутсорсинга расширила поверхность атаки для злоумышленников, нацеленных на цифровые данные. Для обеспечения конкурентоспособности в киберсреде от служб информационной безопасности требуется комплексная модель защиты данных.

Актуальность темы защиты данных стремительно растёт. Широкое использование облачных сервисов, применение аутсорсинга, практика найма распределённых команд и использование инструментов удалённого доступа получили высокую оценку компаний. Но эти же изменения расширили поверхность атаки для злоумышленников, создавая для них новые «точки входа» для проникновения в инфраструктуру и несанкционированного доступа к данным.

Фишинг, эксплуатация уязвимостей в общедоступных сервисах, атаки на подрядчиков, низкий уровень сегментации сети и массовое применение устаревшего программного обеспечения представляют собой серьёзные угрозы. Классические подходы защиты периметра уже не справляются с высокой сложностью атак на современные инфраструктуры.

Сегодня от служб информационной безопасности требуется комплексная модель защиты данных, которая включает в себя весь спектр доступных средств защиты информации. Она должна учитывать риск-ориентированные подходы, повышение осведомлённости персонала и активное взаимодействие с внешними источниками информации.

Какие аспекты учитывать при построении систем защиты данных

Как внешние, так и внутренние угрозы могут стать причиной нежелательных для бизнеса событий. Недобросовестные сотрудники или посторонние лица нередко получают доступ к важным данным «изнутри», без лишнего шума.

Жертвами становятся как крупные корпорации так и небольшие компании, где нет полноценного штата ИБ-специалистов. Можно не только «словить» шифровальщик, но и получить «в дополнение» несанкционированные публикации на теневых ресурсах, кражу финансовых средств с расчётных счетов, внедрение криптомайнеров и так далее.

Например, при компрометации инфраструктуры поставщика ИТ-услуг злоумышленник попадает в инфраструктуру клиента. Такая схема особенно опасна, поскольку подрядчики обычно имеют привилегированный доступ для обслуживания системы.

Могут применяться атаки с использованием легитимных средств удалённого доступа и туннелирования. Финансово мотивированные злоумышленники используют AnyDesk, MeshCentral, Ngrok, Localtonet и подобные инструменты для долгосрочного присутствия в инфраструктуре.

Заметно расширилось использование шифровальщиков-вымогателей. Классическая схема с получением выкупа за расшифровку скомпрометированных данных обогатилась за счёт распространения исходных кодов различных вредоносных средств, таких как LockBit, Babuk и прочих.

Деструктивный хактивизм прочно занимает почётное третье место (после финансовой заинтересованности и промышленного шпионажа) по мотивации злонамеренных действий. Если несколько лет назад злоумышленники ограничивались «пропагандистскими» действиями, то сегодня они не чураются отказов в обслуживании, уничтожения данных и порчи инфраструктуры.

Всё чаще используются легитимные инструменты для постэксплуатации. Для скрытной загрузки и запуска других вредоносных модулей активно используются PowerShell, PsExec, CrackMapExec, WMIExec и различные скриптовые интерпретаторы (Python, NodeJS, JavaScript).

Компрометация инфраструктуры может начинаться с утечки учётных данных (пароль, токен, ключ) — с использованием таких инструментов, как Mimikatz, LaZagne, XenArmor All-In-One Password Recovery Pro, а также из сообщений мессенджеров (чаще всего Telegram) и хранилищ браузеров.

Перед массовым шифрованием злоумышленники пытаются найти и удалить резервные копии данных или зашифровать также и резервные хранилища, чтобы оказать более сильное давление на жертву и исключить возможность быстрого восстановления инфраструктуры.

Очевидно, что меры защиты информации должны быть выстроены на опережение действий злоумышленников и учитывать полный жизненный цикл кибератаки: от разведки и начального проникновения до финального уничтожения, шифрования или кражи данных.

Актуальный вектор атаки. Способ, метод и средство проникновения в систему

По мнению исследователей «Доктор Веб», среди векторов атаки на российские организации уверенно лидируют фишинг и социальная инженерия. На них приходится до 60% атак. Зачастую злоумышленники в письмах представляются сотрудниками государственных организаций, банков, налоговых ведомств или силовых структур. Также набирает популярность практика использования легитимных почтовых ящиков скомпрометированных организаций для дальнейших фишинговых атак.

Источником повышенного риска стало широкое распространение различного иностранного ПО, лишившегося поддержки и официальных обновлений на российском рынке (такого как Microsoft Exchange, Atlassian Confluence, Oracle WebLogic, Citrix ADC и прочих). Злоумышленники целенаправленно занимаются сканированием открытых сетевых сегментов в поисках таких сервисов и массово пытаются эксплуатировать их известные уязвимости.

Значительная доля успешных атак приходится на доступ в защищаемый периметр инфраструктуры через взлом подрядной организации, имевшей более низкие стандарты безопасности в сравнении со своим нанимателем.

Отдельным значимым вектором атак является нарастающая тенденция на компрометацию с целью скрытого майнинга криптовалют. Такие действия могут оставаться незамеченными в течение продолжительного времени, при этом приводя к снижению быстродействия систем и прямым убыткам для бизнеса.

Также получили широкое распространение кража учётных данных и внедрение «закладок». Проникновение с использованием перехваченных учётных данных (зачастую с помощью инструментов для дампа LSASS или захвата сохранённых паролей из браузеров), с дальнейшим закреплением в системе с использованием легитимных средств — таких как Ngrok, Localtonet — позволяет сохранять доступ даже после изменения пароля.

Необходимость многоуровневой схемы противодействия и комплексных мер

Защита данных — процесс, требующий постоянной адаптации к новым киберугрозам. Опыт «Доктора Веб» показывает, что у злоумышленников не иссякает набор инструментов для получения доступа к корпоративным сетям: социальная инженерия, фишинг, эксплуатация старых уязвимостей, обход систем безопасности через легитимные удалённые приложения и так далее.

Требуется реальная комплексная защита. Мы предлагаем использовать линейку сертифицированных ФСТЭК России продуктов Dr.Web Enterprise Security Suite, которые позволяют защитить и рабочие станции, и серверы, и трафик.

«Доктор Веб» также рекомендует организовать комплексный контроль учётных записей, внедрить средства многофакторной аутентификации (MFA) для всех служебных учётных записей и внешних сервисов. Проводить регулярную ревизию всех повышенных привилегий, руководствуясь принципом «минимально необходимого доступа», что сократит масштаб ущерба в случае компрометации.

Обязательно применять средства антивирусной защиты, регулярно обновлять как базы сигнатур, так и сами антивирусные компоненты для противодействия актуальным угрозам. Рекомендовано проводить плановые проверки АРМ и файловых хранилищ для выявления и удаления вредоносного ПО, которое могло скрытно проникнуть в инфраструктуру. Постоянно контролировать результаты антивирусных проверок, фиксировать инциденты в системе учёта, разбирать причины по каждому инциденту и формировать рекомендации по улучшению мер безопасности. Для повышения вероятности выявления вредоносного ПО — применять антивирусы различных вендоров на разных уровнях инфраструктуры (на файловых серверах, почтовых серверах, интернет-шлюзах, рабочих станциях, мобильных устройствах).

Важное значение имеет постоянное выявление уязвимостей с применением средств автоматизации и плановые тесты на проникновение для своевременного выявления уязвимостей на периметре и в общедоступных сервисах. А также установка обновлений для всего применяемого прикладного и системного программного обеспечения, с отслеживанием публикаций о выявлении уязвимостей в пределах защищаемого периметра. Сегментация сети с выделением критических систем в отдельные сетевые сегменты, недоступные извне нужна для затруднения распространения доступа злоумышленников при компрометации систем.

Реализовать концепцию «нулевого доверия» через проверку всех пользователей и устройств, независимо от их положения в сети, а также минимизацию коммуникаций между сегментами. Ограничение до минимально необходимых внешних подключений к СУБД и системам резервного копирования резко снижает риски масштабной компрометации.

Необходимо регулярно (и желательно автоматизировано) проверять целостность резервных копий, а также иметь актуальный отработанный план восстановления инфраструктуры из резервных копий.  Сами резервные копии должны храниться в изолированной среде или оффлайн для исключения возможности их уничтожения или шифрования.

Цифровая грамотность персонала поможет минимизировать человеческий фактор в вопросах социальной инженерии и схожих методов). Тренинги, имитационные фишинговые рассылки и простой алгоритм уведомления о подозрительной почте существенно снизят риск реализации данного вектора атаки.

Нужно контролировать доступ к облачным сервисам. Это подразумевает ограничение доступа к API-интерфейсам и применение сильных механизмов аутентификации для защиты облачной инфраструктуры. Необходим регулярный аудит применяемых конфигураций, особенно при использовании автоматических конвейеров сборки (CI/CD).

Следование вышеприведённым рекомендациям и применение современных средств защиты позволят вывести защиту данных в организации за рамки формальных требований регуляторов и превратить её в реальный инструмент предотвращения финансовых и репутационных потерь, обеспечивая устойчивое развитие и конкурентоспособность любой организации в цифровой среде.

Реклама. ООО «ДОКТОР ВЕБ», ИНН: 7714533600, Erid: 2Vfnxy48N3J