Простые истины

Перед недавним чемпионатом мира по футболу правоохранительные органы страны были приведены в полную боевую готовность, и в офлайне, к счастью, не случилось ни крупных ЧП, ни терактов. А вот активность киберпреступников во время мундиаля, по нашей оценке, оставалась довольно высокой. Мы зафиксировали сразу несколько атак на российские банки, один из которых лишился почти $1 млн — эти деньги удалось вывести хакерской группе MoneyTaker, пробив брешь в корпоративной системе безопасности. Давайте же разберемся, почему компании становятся жертвами IT-преступлений.

Большинство людей, компаний, а бывает, что и некоторые государства, до сих пор не воспринимают компьютерную преступность как серьезную проблему. Тема хакеров у всех на слуху, она хайповая, но психологически люди не так уж боятся хакеров и серьезно их не воспринимают. Между тем, эксперты Всемирного экономического форума (ВЭФ) назвали кибератаки, достигшие «беспрецедентных масштабов», одними из главных глобальных рисков после экологических и геополитических проблем. Кибератакам отведено шестое место в десятке технологических рисков, и вероятность того, что уже через несколько лет эта угроза может занять первую строчку, велика..

Мы живем в самое мирное время за всю историю человечества. Шансы стать жертвой геноцида, масштабных боевых действий, даже банального вооруженного нападения на улице минимальны по сравнению с прошлыми эпохами. Преступников, напротив, меньше не становится — просто реальная опасность поджидает нас уже не с ножом в подворотне, а в интернете. В то же время, как происходит всего одно ограбление квартиры фиксируется 3 000 различных компьютерных атак. Сегодня компьютерное преступление — самое вероятно преступление в мире. То, что люди и бизнес относятся к этой проблеме несерьезно — одно из главных уязвимых мест.

Из первой проблемы вытекает вторая.

Военная наука гласит: чтобы правильно выстроить стратегию защиты, нужно знать, кто твой потенциальный враг. Если не знаешь, от кого защищаешься, то защищаться бесполезно. А сейчас получается, что руководители компаний рассуждают о рисках и кибератаках, не зная, кто такой киберпреступник, как он действует, какие инструменты и тактику использует. Да, они используют терминологию: "кибератаки", "карты рисков", но, в реальности, мало кто может даже назвать несколько хакерских групп.

Информационная безопасность начинается со знаний. Реальность такова, что большинство российских компаний не понимают, что такое современная компьютерная преступность, как она атакует и какими инструментами, как защитить свою инфраструктуру или систему ДБО (дистанционного банковского обслуживания). Например, некоторые банки до сих пор свято верят в USB-токены для аутентификации или в системы DLP, как панацею от "самой главной проблемы" - утечки данных и инсайдера. Проблема есть, она не нова. Но уровень ее опасности на фоне вероятного вывода десятков миллионов за одну ночь вследствие целевой атаки на банк, оказывается не столь высоким. Мир кибербезопасности шагнул вперед. Банки, которые до сих пор не пользуются инструментами киберразведки Threat Intelligence, помогающими заранее знать о наиболее актуальных угрозах или готовящейся атаке, подвергают себя неоправданным рискам. Организации, не имеющие четкого, практически обкатанного плана действий при возникновении инцидента информационной безопасности, должны остаться в прошлом веке. "Бумажная защита" не спасет. Без практики и знаний о том, кто враг и как он действует, победить невозможно.

Мы до сих пор сталкиваемся с компаниями, которые говорят: "Мы защищены. Нас 20 лет никто не взламывал". Это иллюзия контроля. Если вас ещё не взломали, это не ваша заслуга. У хакеров просто не дошли руки. Считается, что банки, корпорации хорошо защищены, они тратят большие деньги на информационную безопасность, покупают новые технологии. Но чаще всего, они начинают действовать, когда у них уже происходят инциденты. Парадокс: что здесь не так? Главная причина: люди и компании до сих пор не понимают, от чего защищаться, не понимают, что такое компьютерная преступность, пользуются устаревшими технологиями и не "прокачивают" своих сотрудников.

Нобелевский лауреат по экономике Даниэль Канеман в книге "Думай медленно. Решай быстро" писал о когнитивных искажениях, неправильных оценках рисков и ловушках для мозга. Одна из них — амплификация. Это когда мы строим бесконечные возможные системы защиты, опираясь на неправильные данные.

Например, до 2017 года большинство компаний (да и государств тоже) были уверены, что вирусы-шифровальщики атакуют лишь рядовых пользователей: блокируют доступ ко всем данным на компьютере и вымогают небольшие деньги за разблокировку. Картина мира перевернулась в мае 2017 года — за три дня вирус-шифровальщик WannaCry атаковал 200 тыс. компьютеров в 150 странах мира. Ущерб от WannaCry оценили минимум в $1 млрд, но и после этого, казалось бы, очевидного доказательства того, что многие компании в мире не защищены от атак "нулевого дня", мало кто оперативно перестроил свои системы защиты. В результате от Petya и BadRabbit пострадало огромное количество коммерческих компаний и госучреждений — работа была сорвана, а данные потеряны — многие просто не задумывались о резервировании данных. Непонимание вектора атак приводит к парадоксальным вещам — распылению бюджетов и "дырам" в обороне.

События прошлого года наглядно продемонстрировали, что бизнес часто проигрывает преступникам в технологиях. Многие, например, до сих пор верят, что антивирус - это единственное верное средство защиты, которое работает. Наш 15-летний опыт расследования компьютерных преступлений показывает, что очень часто антивирусы не спасают. Приезжая на Incident Response (реагирование на инцидент информационной безопасности) в банк или компанию, откуда украли деньги, наши криминалисты, обращают внимание, что на многих зараженных машинах сотрудников установлены самые популярные антивирусы.

Да, хакеры становятся более быстрыми и незаметными — они используют готовые программные модули, которые, как конструктор, собирают под конкретную задачу, автоматизируют процессы, используют бестелесные программы, которые работают только в оперативной памяти. В руки киберпреступников в результате утечек попадают инструменты проправительственных групп, разработанные по заказу спецслужб. А у нас многие все еще надеются на антивирусы...

Самое слабое звено в обороне организации — это по-прежнему человек. Отсутствие знаний о компьютерной преступности, ошибки, халатность, невнимательность приводят ко многим успешным компьютерным атакам. Хакеры из MoneyTaker, о которых мы рассказывали выше, во время одной из атак заразили домашний компьютер сисадмина российского банка, проникли в систему и почти три недели свободно передвигались внутри банковских систем, изучая процессы работы организации и прикидывая, как украсть деньги. В банке стоял антивирус и он почти ежедневно "сигналил", фиксируя, как атакующие сканируют порты серверов и рабочих станций и используют различные хакерские инструменты. На "тревогу" никто не обращал внимания, пока в конце ноября этого года из банка не похитили несколько десятков миллионов через АРМ КБР (автоматизированное рабочее место клиента банка России).

Другой пример — фишинг. Привычные средства антивирусной защиты практически бесполезны против таких схем хищений. Снова пример из банковской сферы: на этот раз хакерская группа Cobalt применила известный прием, рассчитанный на незнание рядового сотрудника. Письмо, которое получили представители десятков банков в России и СНГ, было составлено якобы от лица крупного антивирусного вендора. Это была «жалоба» на английском языке о том, что с данного компьютера якобы зафиксирована активность, нарушающая существующее законодательство. Получателю предлагалось ознакомиться со вложенным письмом и предоставить детальные объяснения. Если ответ не поступит в течение 48 часов, «антивирусная компания» угрожала наложить санкции на web-ресурсы получателя. Для того, чтобы скачать письмо, необходимо было перейти по ссылке, что, естественно, привело к заражению компьютера сотрудника банка. Таких примеров — множество. Если вы на самом деле хотите быть защищенными, а не казаться таковыми, лучше начать с изучения карты угроз, актуальных именно для вашего бизнеса, и постоянно уделять внимание обучению персонала.