Кибербезопасность-2017: типичные ошибки и советы по защите - «Финансы»

От атак на отдельные компании в 2017 году хакеры перешли к атакам на целые отрасли. Первой в списке их целей всегда была и, скорее всего, останется в будущем финансовая сфера: банки, биржи и другие финансовые институты. Каковы типичные недостатки в системах информационной безопасности и как эффективнее защищаться от киберугроз?

Определитесь с обновлением ПО

Больше всего шума в 2017 году наделали вирусы WannaCry и Petya. Они использовали схожие уязвимости, поэтому пример WannaCry можно считать типичным для обоих зловредов.

Для атаки на столь большое число целей не нужна армия программистов, достаточно одной уязвимости

WannaCry был одной из самых массовых атак 2017 года: по оценке Европола, ей подверглись около 200 тыс. компьютеров в 150 странах. Для атаки на столь большое число целей не нужна армия программистов, достаточно одной уязвимости, которой будет подвержено множество пользователей и компаний. Чтобы атака смогла стать массовой, уязвимость, которой она пользуется, должна присутствовать в массово используемом продукте. Например, в операционной системе (ОС). В случае с WannaCry злоумышленники использовали уязвимость в ОС Microsoft Windows, а конкретно – в протоколе удаленного доступа под названием SMBv1. Данный протокол применялся в очень большом спектре ОС – от Windows XP до Windows 10. WannaCry блокировал ОС пользователя и вымогал у него деньги в биткоинах.

Здесь мы подходим к сути проблемы. Еще 14 марта 2017 года, за три месяца до массовой атаки, Microsoft выпустила обновление, устраняющее уязвимость в протоколе SMBv1. Однако установили его далеко не все.

Обновления ПО выходят постоянно: на ОС, на прикладное ПО, на оборудование и т. д. Можно сказать, что они сыпятся как из рога изобилия. Однако зачастую пользователи не спешат их устанавливать. Причина не только в лени или забывчивости, а в том числе в желании проверить, не сломает ли обновление что-то критически важное в компании. Ведь если IT-специалист бездумно будет ставить все обновления подряд, это может привести к серьезным последствиям для любой компании, зависимой от IT-систем. Так что же делать?

Если вы аудитор, владелец или просто ключевой пользователь IT-системы, поинтересуйтесь у ответственных за нее IT-специалистов, как часто ставятся все требуемые обновления для вашей системы. И есть ли среди неустановленных обновлений относящиеся к информационной безопасности.

Потратьте час времени и совместно с IT-специалистом разработайте подход к установке обновления ПО и всех поддерживающих его систем 

Совет № 1: потратьте час времени и совместно с IT-специалистом разработайте подход к установке обновления ПО и всех поддерживающих его систем так, чтобы не пострадали ваши бизнес-процессы, а ваша система максимально оперативно получала все обновления информационной безопасности. В компании должен быть процесс установки обновлений ПО и операционных систем с указанием владельца процесса, ответственных за установку обновлений и контроль установки обновлений, а также четкие временные рамки установки обновлений в зависимости от степени критичности информационных систем и сервисов.

Проверяйте внешние порты

Одним из видов хакерской атаки является получение доступа к IT-системам компании

WannaCry и Petya наделали много шума как в компаниях, так и в СМИ. Но часто самыми опасными являются не те атаки, которые сразу заметил весь мир, а те, что остаются незамеченными. Одним из видов хакерской атаки является получение доступа (естественно, никем не санкционированного) к IT-системам компании. Что может делать с этим доступом злоумышленник? В сущности, всё что угодно. В случае с банками – получить полный доступ к счетам, персональным данным и другой информации клиентов, которая хранится в базах данных компании.

Есть множество подходов к тому, как злоумышленники получают данный доступ. Мы остановимся на подходе, который для злоумышленника имеет широкий охват и часто не требует большого количества усилий. Это мониторинг специфических сетевых портов. И в случае, если они открыты, попытки с их помощью получить доступ к информационным системам.

Как ведут себя злоумышленники? Есть множество сервисов, позволяющих проверить, открыты ли порты, используемые для управления системами и сервисами (например, SSH (порт 22), TELNET (порт 23), RDP (порт 3389)). Пример подобного сервиса. Это что-то вроде Google, только о сетевых портах, типах используемого оборудования, наименованиях и версиях используемого ПО.

В свободном бесплатном доступе находятся инструменты для тестирования информационных систем и сервисов компаний на уязвимости

Помимо этого, в свободном бесплатном доступе находятся инструменты для тестирования информационных систем и сервисов компаний на уязвимости. Стоит отметить, что порог начального вхождения в данную область крайне низкий и не требует проведения специальной подготовки, что позволяет потенциальному злоумышленнику приступить к возможному осуществлению своих злонамеренных действий сразу же после установки специализированного ПО.

Примером таких инструментов являются популярные среди специалистов по практической информационной безопасности дистрибутивы операционных систем с предустановленным и настроенным программным обеспечением (например, Kali Linux, BlackArch Linux, ParrotSec), а также отдельные инструменты хакерских группировок, которые стали доступны широкой общественности. Например, набор специализированного ПО, созданного группировкой Equation Group, включающий различные инструменты для получения доступа к сетевому оборудованию, операционным системам и сервисам.

Зачем злоумышленнику знать, какие порты у вас открыты? 

Зачем злоумышленнику знать, какие порты у вас открыты? Если, например, открыт порт SSH, можно «натравить» на него программу подбора пароля. Данная программа будет бесконечно подбирать пароль к какой-нибудь учетной записи, например admin. И как только пароль будет подобран – путь открыт. Дальнейшие выгоды для взломщика и, соответственно, ущерб для жертвы будут зависеть от профессионализма и желаний злоумышленника.

Помимо учетных записей администраторов, лакомой целью для злоумышленника может являться получение доступа к технологическим учетным записям, часто имеющим широкие полномочия. Но контроль за ними значительно ниже.

В идеале используются выделенные учетные записи для задач администрирования 

Совет № 2: попросите IT-специалистов (и убедитесь в этом сами) выполнить следующие пять базовых условий:

• Недоступны из Интернета порты, используемые для удаленного управления системами и сервисами (например, 22-, 23-, 3389-порты). Если же по какой-то причине доступ необходим, переопределите порт доступа со стандартного на любой другой. Например, переконфигурируйте службу SSH со стандартного порта 22 на порт 2220 и/или перейдите на использование ключей доступа вместо паролей. В этом случае количество автоматических переборов паролей резко уменьшится.
  
• Сетевое оборудование, обеспечивающее доступ из/в Интернет сконфигурировано корректно. То есть сотрудники IT и информационной безопасности четко понимают, для каких целей, по какой заявке и кем было создано правило пропуска трафика из/в корпоративную сеть компании.
  
• В информационной системе нет неизвестных/уволенных пользователей, особенно с административными правами.
  
• Изменены и регулярно обновляются пароли на учетных записях администраторов, согласно парольной политике компании, а в идеале используются выделенные учетные записи для задач администрирования (например, ivanov_adm, petrov_adm).
  
• Заблокировано использование технологических учетных записей пользователями (например, пользователь не может войти в систему с использованием технологической учетной записи).
  

Разберитесь с подрядчиками

Почти в каждой компании уже есть хорошо организованные и удобные «ворота» в информационные системы. Они используются для систем, которые поддерживаются не внутри самой компании, а внешними подрядчиками. Довольно удобным вариантом для атаки может служить использование легитимных доступов ваших поставщиков IT-решений, то есть компаний, предоставляющих услуги технической поддержки, сопровождения информационных систем и сервисов.

Аналогичный случай произошел в середине декабря – атака осуществлялась через популярную систему SWIFT

Часто, даже заметив, что пользователь делает какие-то необычные действия, администратор может списать это на работы по поддержке IT-системы. В качестве примера вернемся к кибератаке Petya. В ходе этой атаки злоумышленники сначала взломали крупного поставщика ПО, а уже затем, пользуясь его легальным каналом, атаковали банки и другие организации. Аналогичный случай произошел в середине декабря – атака осуществлялась через популярную систему SWIFT.

Совет № 3: для минимизации данного риска необходимо четко и в любой момент быть готовым ответить самому себе на три стандартных вопроса:

1.  Кто к нам подключается?

Для ответа на этот вопрос необходимо наладить процесс управления учетными записями сотрудников внешней технической поддержки. В том числе:

- использовать ограниченный срок действия учетных записей;

- ввести ответственность руководителей IT-подразделений за контроль действий данных сотрудников;

- своевременно информировать о необходимости блокировки учетных записей аутсорсеров/подрядчиков в случае их увольнения.

2.  Когда к нам подключаются?

Внедрить систему управления работами подрядчиков и предоставлять им доступ в корпоративную сеть только при необходимости решения инцидентов или проведения плановых работ

Имеет смысл внедрить систему управления работами подрядчиков и предоставлять им доступ в корпоративную сеть только при необходимости решения инцидентов или проведения плановых работ.

3.  Как к нам подключаются?

Можно внедрить механизм двухфакторной аутентификации для внешних подключений в корпоративную сеть компании. В этом случае, помимо использования стандартного механизма аутентификации (логин/пароль/сертификат), сотруднику внешней технической поддержки необходимо будет вводить одноразовый пароль, который он получает, например, с помощью СМС-сообщения.

Протестируйте своих сотрудников

Проблематика обеспечения информационной безопасности компании должна быть делом каждого сотрудника, а не только специалистов по IT или ИБ

Какими бы совершенными ни были системы и процессы обеспечения ИБ, самым уязвимым местом является конечный пользователь – сотрудник компании. Стоит ему лишь однажды допустить ошибку и открыть файл в письме или перейти по вредоносной ссылке, и риск возникновения инцидента ИБ, а в конечном счете взлома информационной системы значительно возрастает. Поэтому проблематика обеспечения информационной безопасности компании должна быть делом каждого сотрудника, а не только специалистов по IT или ИБ.

Совет № 4: необходимо наладить в компании два ключевых механизма. Во-первых, информировать сотрудников об актуальных угрозах и методах работы злоумышленников. Во-вторых, регулярно тестировать уровень осведомленности сотрудников по вопросам обеспечения ИБ. В качестве такого тестирования могут быть использованы следующие методы:

• e-mail-рассылка, имитирующая действия злоумышленников и направленная на запуск файлов во вложении;
  
• использование методов социальной инженерии для получения данных аутентификации пользователей (логин/пароль) в информационных системах;
  
• любые другие имитации актуальных угроз ИБ.
  

Как и в жизни, в современных информационных технологиях самые простые ошибки зачастую являются самыми массовыми и опасными

Как и в жизни, в современных информационных технологиях самые простые ошибки зачастую являются самыми массовыми и опасными. Прежде чем вкладывать огромные деньги в новые системы информационной безопасности, научите своих IT-специалистов уделять внимание простым и базовым вещам. Ведь если у информационной безопасности нет хорошего фундамента, то нет смысла выстраивать на нем сложные многоуровневые системы защиты.