Скрытая угроза

2017 год уже стал необычно богат на «утечки», взломы и «сливы» конфиденциальной информации. Эксплуатируя системы защиты информации, вы следите за появляющимися угрозами? Вы знаете, что будете делать, столкнувшись с реальной атакой?Если вы ответили отрицательно хотя бы на один из этих вопросов – у вас проблемы.

Угрозы ИТ-уязвимости растут

И проблемы эти усугубляются тем, что необычайно эффективные и продуктивные инструменты атак уже распространены «в поле» и доступны каждому, кто захочет их найти. Например, «The Shadow Brokers — Lost in Translation». Набор готовых программных кодов-эксплоитов, использующих уязвимости в программном обеспечении и находящихся в открытых источниках, открывает инфраструктуру организации мотивированному атакующему. И совсем не обязательно, чтобы этот атакующий был с сильным программистским и техническим бэкграундом. Ситуация в последние годы поменялась: желание и возможность примкнуть к киберпреступникам стали если не массовыми, то гораздо более распространёнными, чем раньше.

Утечка кибероружия АНБ привела к одной из самых масштабных атак последнего времени – распространению вируса «Wanna Cry» различных версий, ущерб от которых еще только предстоит оценить. Сложилась странная ситуация: сложно определить, кто виноват. Спецслужбы, потому что искали уязвимость в операционных системах? «Microsoft», потому что поздно выпустила «правильное» обновление? Пользователи, потому что не установили его? Всё зависит от того, с какой стороны посмотреть на ситуацию.

Что можно сделать?

В первую очередь, стоит отслеживать появление новых угроз. Например, обновление, закрывающее эксплуатацию уязвимости, используемой в атаке «WannaCry», уже выпущено. Более того, разработчик сигнатур компания «Перспективный мониторинг», входящая в группу компаний «ИнфоТеКС», выложила эти сигнатуры в открытый и свободный доступ для всех пользователей IDS на базе Snort.

Разведка угроз (или Threat Intelligence) нужна для определения стратегии и тактики противодействия атакам, приоритизации реагирования и управления инцидентами и предупреждения атак с учётом изменения существующего ландшафта угроз. ThreatIntelligenceпомогает принимать решения в области обеспечения безопасности информации.

По данным IBMв интернете существует около 3 тыс. источников информации об угрозах. Это не считая Dark Web, Tor, Freenet и других анонимных и пиринговых сетей. Понятно, что вручную «переварить» такой объём данных невозможно. И тут есть три пути.

Первый – ничего не делать и просто ждать, когда «прилетит» атака. Но это реактивный подход и догоняющая позиция.

Второй – автоматизировать получение и обработку информации об угрозах. Это уже проактивный подход, благодаря которому можно подготовиться к атакам хотя бы в какой-то мере и предпринять шаги по недопущению негативного воздействия или снизить объём ущерба. Но как это делать? Вкладываться в разработку? Искать людей? Далеко не всегда это экономически оправдано.

И третий путь – получать уже обработанные данные от специализированной компании. Это решение предлагают «ИнфоТеКС» и «Перспективный мониторинг». Вы сможете получать актуальные сигнатуры для средств защиты, информацию о выявленных уязвимостях программного обеспечения и новых угрозах безопасности информации.

---

Иван ЛИХАЦКИХ, руководитель департамента информационной безопасности «ЛОГАСОФТ»:

- Мы много лет занимаемся вопросами информационной безопасности и ежедневно работаем с обращениями представителей организаций, которые столкнулись с компьютерной атакой или поймали шифровальщика. Безусловно, опасность легче предупредить. В сложных случаях поможет только профессионал. Но первые шаги можно сделать и самостоятельно.

Вот несколько простых советов:

1. Проведите инструктаж по информационной безопасности для сотрудников организации.
2. Разработайте план реагирования на инциденты информационной безопасности, чтобы своевременно либо нейтрализовать их, либо восстановить работоспособность организации.
3. Поддерживайте в актуальном состоянии версии программного обеспечения, в том числе того ПО, которое предназначено для защиты информации.
4.  Создавайте резервные копии критически важных данных и автономно храните их.

---

Причинно-следственные связи

Но можно пойти ещё дальше. Получать не просто правила, а детальный разбор зафиксированных средствами защиты событий и инцидентов информационной безопасности. Для этого надо создать собственный или подключиться к существующему Центру мониторинга и получать эти услуги на регулярной основе.

Главное преимущество аутсорсинга в данном случае – немедленный результат. В качестве примера можно привести случай, когда к Центру мониторинга компании «Перспективный мониторинг» подключилась достаточно крупная организация. В первые же дни мы зафиксировали пик инцидентов. Об этой вредоносной активности догадывались, но мы помогли выявить факторы атаки, предложили меры реагирования, и постепенно количество зафиксированных инцидентов снизилось.

Очень часто проблемы возникают, когда надо понять причины, этапы развития и последствия инцидентов информационной безопасности, а собственных сотрудников и ресурсов на это не хватает. В таком случае целесообразно обратиться к партнёру «ИнфоТеКС» в Вологодской области ООО «ЛОГАСОФТ», и они помогут разобраться, что же произошло.

Хочется ещё раз подчеркнуть, что инцидент в области информационной безопасности (ИБ) – не катастрофа. Да, это неприятно, заставляет нервничать, наносит ущерб. Например, наш Центр мониторинга фиксирует в среднем одно подтверждённое негативное воздействие на информационные системы (инцидент) в день. Но организации, против которых направлены атаки, продолжают работать.

Не надо бояться инцидентов, надо быть к ним готовым, понимать стадии их развития, причины и максимально быстро устранять их последствия.

---

Сергей ДУРЯГИН, вице-президент, руководитель отдела продаж «ИнфоТеКС»:

- Несмотря на негативную статистику, многие руководители коммерческих и государственных организаций продолжают относиться к вопросам защиты информации довольно легкомысленно и финансируют это направление по остаточному принципу, поскольку не видят в тратах на средства ИТ-защиты большой практической пользы. Они руководствуются привычной установкой: «У нас нечего красть».

Однако это серьезная ошибка, поскольку далеко не всегда главной целью преступников является сама информация. Цель может быть и другой – например, парализовать работу организации, зашифровав ее данные или украв их, а затем вымогать деньги за обещание восстановить утраченные или повреждённые базы данных о заказчиках, системы учёта и управления, почтовую переписку, интернет-сайты. Автоматическая атака практически ничего не стоит злоумышленнику, а восстановление работоспособности одного офисного компьютера может обойтись организации в 50–70 тыс. руб. Поэтому такие атаки выгодны преступникам и обязательно будут происходить в дальнейшем.

Важно помнить, что любая компьютерная атака на организацию оставляет следы. Главное – не только своевременно обнаружить эти свидетельства угроз информационной безопасности, но и проанализировать их, разработать план действий по снижению негативных последствий, выявить причастных к атаке лиц внутри организации, если такие реально имеются. Руководителю необходимо видеть результаты работы средств защиты, оценивать их эффективность, чтобы на основе полученной информации принимать решения о том, какие направления информационной безопасности усиливать дальше и как защищать инфраструктуру организации.

Заниматься этим вручную — долго и дорого, поскольку потребует большого штата аналитиков даже для небольшой, в полсотни рабочих мест, организации. Поэтому эту работу лучше автоматизировать.

Фото из архива организации