bts merchandisebts shopbts sweatshirtbts clothesarmy bombbts official army bombbangtan bombbts army bomb ver 4bts army bomb ver 3bts army bombbts light stickbts official light stickbts light stick ver 4bts light stick ver 3bts dollsbt21 plushiesbts hoodiebts jacketbt21 hoodiebts shirt
TechFusion.ruАвторские колонкиХранение и защита данных: как не повторить ошибки Garmin, Canon и Intel

Хранение и защита данных: как не повторить ошибки Garmin, Canon и Intel

целевые атаки

В последние недели произошел ряд показательных атак, которые еще раз продемонстрировали миру, что программы-вымогатели являются серьезной опасностью и проблемой для современного бизнеса

Старший директор по продуктам и технологиям компании Acronis Александр Иванюк в специальном материале для TechFusion.ru рассказал, какие «дыры» открывают злоумышленникам путь к данным компаний, а также о том, как правильно хранить и защищать данные.


Взлом известной компании-поставщика GPS-продуктов и технологий Garmin обернулся для нее неделей простоя, которая, естественно, стоила очень дорого. И, плюс к этому, привел к выплате выкупа в размере 10 миллионов долларов в криптовалюте.

Второй свежей жертвой программ-вымогателей стал известный производитель фототехники Canon, который потерял 10 терабайт конфиденциальных данных, и которому еще предстоит запустить свои сайты и сервисы обратно. И, возможно, также заплатить выкуп — хотя это никогда не рекомендуется делать.

Ну и третья компания, на днях столкнувшаяся со взломом — Intel. Источники утверждают, что в сеть попало 20 ГБ исходного кода и закрытой документации о разрабатываемых компанией процессорах.

Встает резонный вопрос: как и почему возникают такие проблемы у крупных компаний, которые, наверняка, должны иметь в арсенале лучшие антивирусные продукты и резервное копирование?

Человеческий фактор

Работники компаний по-прежнему играют огромную, если не ключевую роль в каждой успешной атаке. Даже если они проходят какой-то тренинг по вопросам безопасности — если они не работают в этой области, они быстро забывают все, чему их учили. И совершают ошибки. В лучшем случае сотрудники запоминают, что не надо кликать на первые попавшиеся линки и не стоит посещать сомнительные сайты. Но получив инструктаж и получив компьютер с установленным антивирусом, они уверены, что все будет хорошо. Увы, это совсем не так.

В случае с атакой на Garmin, сотрудник компании просматривал легитимный новостной сайт, который был заражен. Такое случается очень часто. Сайт попросил обновить браузер Google Chrome — и работник не увидел в этом ничего подозрительного. Что интересно, дальше не сработала антивирусная защита. Тут два варианта: если она там и была, то не самая лучшая, или она была неправильно сконфигурирована. Зачастую бывает и так, что защитный продукт выдал предупреждение, но человек его проигнорировал и все равно совершил операцию. В корпоративной среде такого не должно происходить, и если случилось именно так — значит, местные специалисты по безопасности плохо поработали с пользователями.

Программный фактор

Реалии программных средств киберзащиты таковы, что не все они одинаково хороши. Можно иметь установленный антивирус, который не сможет остановить не то, что таргетированную, но даже широкомасштабную, относительно простую атаку.

Возвращаясь к примеру Garmin — если бы секьюрити продукт имел Web/URL-фильтрацию или как его еще называют веб-антивирус, он мог бы сигнализировать о том, что сайт заражен и заблокировать его. Очевидно, этого не произошло. Даже если бы ссылка была совершенно новой не попала в базы опасных, атака могла быть заблокирована на этапе начала шифрования данных. Не многие компании умеют делать это правильно, но эффективные решения на рынке есть.

Атака могла быть задетектирована даже во время скачивания и записи вредоносного файла на диск. Или, если файл не вредоносный, а докачивает пейлоад потом — то на этапе скачки и запуска пейлоада (то есть, непосредственно вредоносного кода). Подобный функционал есть в хороших системах многоуровневой защиты, но они должны быть правильно настроены — по умолчанию часть защиты может быть отключена. 

Зачастую цель атаки состоит в том, чтобы скомпрометировать учетную запись администратора. Это было бы не так просто сделать, имей администратор включенную двухфакторную аутентификацию, которая, есть, например, в корпоративных продуктах Acronis. По факту же, почти нигде админы таким не балуются, и, как результат, получив доступ в систему и сграбив тем или иным способом пароль и логин с администраторскими привилегиями, злоумышленники могут делать все, что угодно. Например, отключать процессы антивирусов, выключая тем самым защиту, копировать огромное количество данных за пределы компании, не боясь спровоцировать сигнал тревоги от сетевой защиты если она есть. И удалять логи, чтобы потом никто не мог понять, что произошло.

Почему компании платят выкупы и подолгу не могут восстановить работу?

Подразумевается, что вышеназванные компании и другие жертвы целевых атак имели бэкапы данных. Так почему же им приходится платить выкуп? И почему они не могут просто восстановить системы из бэкапа?

Во-первых, как уже было сказано выше, если злоумышленники получили админские права, то они могут просто удалить бэкап-файлы. Если компания не следовала правилу 3-2-1 (три источника, один удаленный не связанный с первыми двумя) в плане хранения бэкапа, то восстанавливаться будет не с чего.

Во-вторых, если такого доступа у злоумышленников и не было, то они все равно могли взломать и остановить бэкап-процесс и получить доступ к данным. В Acronis мы много инвестировали в самозащиту бэкап-процесса начиная с 2016 года, а согласно независимым тестам у большинства других продуктов самозащита практически отсутствует, и скомпрометировать их очень легко.

Ну и, наконец, чтобы обезопасить себя, в последний год злоумышленники догадались воровать данные — и это пример всех последних громких кейсов. Даже если компания все делала правильно с бэкапом и может восстановить данные из третьего источника, плохие ребята начинают угрожать выложить в публичный доступ конфиденциальную информацию, которую они выкачали. С тем, чтобы нанести бизнесу репутационный и юридический ущерб. Это особенно актуально для стран с сильной законодательной системой, таких, как США, где подобное грозит бизнесу дальнейшими судами и выплатами огромных штрафов.

Как результат — компании понимают, что дешевле заплатить. И злоумышленники этим пользуются, что хорошо видно на примере дела Canon, за которым стоит группа киберпреступников Maze. Они уже давно таким промышляют, и не так давно выложили в публичный доступ 50 ГБ данных компаний LG и Xerox, которые после взлома отказались платить выкуп. 

Что делать, чтобы не повторить ошибки Garmin, Canon, Intel и других

Надо продолжать образовывать корпоративных пользователей, объяснять им как обновляется софт, что выглядит подозрительно, а что нет и так далее. Но не надо надеяться, что бухгалтер или работник склада станет секьюрити-гуру. Поэтому компаниям очень важно иметь правильную многоуровневую защиту.

Учитывая, что большинство атак происходят или через программные уязвимости или посредством вредоносных вложений и ссылок, важно чтобы защитное решение хорошо умело с таким справляться. Надо вовремя выявлять уязвимости, закрывать их с помощью патч-менеджемента. А если возникает уязвимость 0-дня, то есть, неизвестная ранее и еще не закрытая патчем — надо иметь в арсенале киберзащиты функциональность предотвращения эксплуатации уязвимостей, то, что по-английски называют exploit prevention. При этом патчить надо не только машины пользователей, но и серверы, и сайты. Об этом почему-то часто забывают.

Далее, обязательно должен работать веб-антивирус или URL-фильтрация. Желательно интеллектуальная, использующая машинное обучение при анализе вредоносных ссылок. За всем этим должен стоять качественный поведенческий движок для детектирования вредоносных программ и поведенческое детектирование программ-шифрователей.

Права пользователей в корпоративной сети должен быть четко распределены, а все администраторы в обязательном порядке должны использовать двухфакторную аутентификацию для доступа к различным сервисам, которые они контролируют. Надо контролировать трафик и информировать как минимум несколько человек по разным каналам в случае подозрительных операций копирования или удаления данных.

Резервное копирование должно следовать уже упомянутому правилу 3-2-1, при этом бэкап должен быть защищенным и уметь справляться с шифровальщиками. Как показывает опыт всех последних атак, если бы компании использовали правильные продукты, их данные не были бы зашифрованы.