Sorry, you need to enable JavaScript to visit this website.

CAPTCHA на основе изображений
Введите код с картинки

Грабли в безопасности: как не наступить после «Дельты»

Грабли в безопасности: как не наступить после «Дельты»
2016-09-212016-12-19Безопасностьru
Каждый ИТ-директор стоит перед выбором: сэкономить на капитальных затратах и обновить сервера потом или потратить деньги компании в кризис на то, что бизнесу...
Опубликовано 21 сентября 2016 Команда Orange в Безопасность

Каждый ИТ-директор стоит перед выбором: сэкономить на капитальных затратах и обновить сервера потом или потратить деньги компании в кризис на то, что бизнесу впрямую не поможет. Иногда желание сэкономить на безопасности выходит боком.

Крупнейший по количеству рейсов авиаперевозчик «Дельта эйр лайнс» работал на оборудовании 90-х годов, чем и воспользовались хакеры. За два дня перевозчик отменил 1 300 рейсов. Пассажиры не могли зарегистрироваться на рейс, каждому пришлось выплатить компенсацию. Пострадала репутация авиаперевозчика. 10 млн долларов — убытки «Дельта эйр лайнс» после хакерской атаки на устаревшее оборудование.

 

Как хакеры зарабатывают при помощи эксплойтов

Программы-вымогатели могут шифровать наши самые ценные ресурсы — данные. Только за первые 3 месяца 2016 года мошенники заработали более 200 млн долларов. Прогнозируемый доход мошенников за год составит 840 млн долларов.

 

Для взлома достаточно купить готовую программу.

 

 

Когда эксплойт куплен, он устанавливается на сайт и ждет своих клиентов. Это может быть довольно популярный блог или сайт, который не выглядит подозрительно. Но не только: спам в электронной почте или документы с макросами часто заражены эксплойтами.

Жертва заходит на сайт, открывает письмо или документ, и через уязвимость в старом оборудовании устанавливается криптолокер. Антивирус не подозревает о творящемся бардаке — вредонос маскируется под обычную программу. После чего генерирует случайный ключ на компьютере жертвы, запрашивает публичный ключ с сервера и начинает шифровать информацию.

 

Шифрование происходит медленно, незаметно для наблюдателя: через несколько недель вся информация корпоративной сети будет зашифрована. Если прервать процесс, зашифруется только часть информации, а если нет — появится окно с требованием выкупа. Время ограничено. Действовать нужно быстро, иначе вредонос уничтожит приватный ключ, и диск будет практически невозможно расшифровать. Если остался не зашифрованный оригинал, может помочь утилита «Касперского». В остальных случаях ФБР советует заплатить.

Голливудский пресвитерианский медицинский центр подвергся ransomware — хакерской атаке с вымоганием денег. Жесткие диски учреждения зашифровали, компьютеры недоступны. Сотрудники не могли получить доступ к историям болезни. Производительность труда упала. После недолгих раздумий хакерам заплатили 16 800 долларов. Работу больницы восстановили через десять дней.

По статистике, платит 1% пострадавших. Компании — потому что стоимость информации выше, чем стоимость выкупа, а обычные пользователи — чтобы сохранить любимые фотографии и рабочие документы.

 

Каждый день выходит несколько новых эксплойтов

Число уязвимостей растет постоянно — все больше устройств, таких как телевизоры или холодильники с не безопасной операционной системой, подключается к интернету. Через домашнюю сеть заражают компьютер удаленного работника, который потом зайдет в корпоративную сеть.

Эксплойты дешевеют, а атаки принимают все более массовый характер. Особых проблем с покупкой нет, можно найти даже на официальных биржах. В России открылась первая биржа по продаже эксплойтов, а по всему миру площадок не менее двадцати, не считая подпольных в Даркнете.

Хакеров, которые изготавливают эксплойты, не вычислишь в глубинах Даркнета. Они работают на заказ и зарабатывают на продаже.

А хакеры-покупатели зарабатывают вымогательством. Такие киберпреступники берут не качеством атак, а количеством жертв. Поэтому более изощренные точечные атаки — не их профиль. Чтобы не попасться, они переводят биткоины через множество подставных кошельков.

 

Когда оборудование обновят, оно уже устареет

Если ИТ-директор решит заменить устаревшее оборудование, он должен убедить в этом генерального директора, главного бухгалтера, согласовать все оборудование, внести его в реестр. Проходит очень много времени. Например, десятая версия «Виндоус» вышла раньше, чем компании перешли на седьмую.

Часто переход на новое оборудование связан с большими затратами. Нужно купить и поставить «Виндоус 10», и обеспечить совместимость корпоративных программ с новой системой.

Однажды программное обеспечение на оборудовании перестанет поддерживаться производителем и не будет обновляться. Старое оборудование просто не сможет защитить от новых атак. Как зонт во время бури защищает до поры до времени, — но любой порыв ветра тут же сложит его, и на вас обрушится шквал дождя.

Поэтому вероятность, что хакерам просто проникнуть в вашу сеть, — высока. Чем больше корпорация, тем больше потери от старого оборудования и сложнее следить за безопасностью данных.

 

Чтобы сохранить периметр нетронутым — уберите его

Безопасность компании можно обеспечивать самостоятельно, а можно вынести на аутсорс компаниям, которые на этом специализируются.

Самому не безопаснее
Собственные эксперты и инфраструктура дают ощущение безопасности и полного контроля. Только для большинства компаний безопасность — не профильное направление, поэтому такая защита вредит бизнесу.

Деньги не работают, а сливаются на постоянное обновление оборудования, которое преимущественно работает на 10-15% мощности, борьбу с бюрократией и проволочками. Вендоры повышают стоимость поддержки устаревшего оборудования. Приходится платить зарплату сотрудникам, которые работают с этим оборудованием.

 

Каждая компания вправе решать, какие задачи важнее: бизнеса или безопасности.

 

 

Выгоднее — отдать на сторону или перейти в облако
Аудит сторонней организации покажет слабые места в инфраструктуре. Вам посоветуют лучшие варианты обновления текущей базы. Таким компаниям не нужно обучать экспертов, они специализируются на этом. Безопасность — их забота и работа.

Чтобы убрать границы и заходить в корпоративную сеть с личных компьютеров с минимальными рисками для безопасности, хорошим вариантом будет переход на облачные решения защиты. Можно обеспечить защиту в облаке незаметно для собственных и удаленных сотрудников.

Несмотря на то, что сервера сдаются в аренду и не принадлежат компании, безопасность будет стоить дешевле благодаря оптимальному использованию ресурсов серверов и экспертов.


***
 

Идея этой статьи пришла нам во время бурного внутреннего обсуждения трендов  кибербезопасности. Крупные компании пытаются защититься от целенаправленных атак на бизнес, но на самом деле страдают от «ковровых бомбардировок» по уже изученным уязвимостям. Почему так происходит и что с этим делать — попытались рассказать в этой статье. Кстати, пишем впервые. Что думаете? Была ли статья для вас полезной?

 Ричард ван Вагенинген

 
Русский