Новые угрозы в условиях постпандемии

Андрей Прошин,
менеджер по развитию бизнеса
направления «Безопасность» Orange Business 

Согласно исследованиям компании DMEXCO, большинство компаний планирует оставить часть сотрудников работать в удаленном формате после пандемии. Значит, меры, о которых пойдет речь, будут актуальны и после отмены режима самоизоляции.

Какие угрозы активизировались

По данным подразделения киберразведки Orange, число угроз безопасности пользователей и организации значительно возросло.

Веб-сайты

Домены. Увеличилось число доменов со словом “COVID-19” в названии. Конечно, не все из них являются вредоносными, но часть из них созданы именно для атак на простых пользователей и компании. Компании — наиболее привлекательная цель для хакеров. 

Количество зарегистрированных доменов с упоминанием слова “COVID-19” 

Если сотрудник попадет на подобный вредоносный сайт, скачает оттуда и запустит программу, то злоумышленник может получить доступ к корпоративным данным.

Фишинговые письма. По данным CERT Orange Cyberdefense, куда пользователи могут направлять «подозрительные» письма, увеличился поток писем с содержанием фишинговых ссылок на вредоносные сайты.

Количество потенциально опасных писем, по данным CERT Orange Cyberdefense 

Мошенничество и дезинформация. Фейковые сообщения в новостях отвлекают и рассеивает внимание. В таких условиях люди более уязвимы к фишингу — а значит и компании, в которых они работают, больше подвержены хакерским атакам.

Мобильные приложения

Как и в случае с доменами, растет число приложений с “COVID-19” в названии. Опять же, безусловно, не все из этих приложений вредоносные. Но по информации Bitdefender часть этих приложений содержит внутри себя агрессивный AdWare, а другая — банковские и другие виды троянов.

Количество приложений, содержащих в названии слово “COVID-19” в Европе, США и Азии

Если сотрудник скачает такое приложение к себе на телефон, оно может получить данные этого сотрудника для доступа к корпоративным ресурсам и затем — к данным компании.

Уязвимые домашние роутеры

Недавно нашли новые уязвимости в домашних роутерах, с помощью которых,
по данным на ZDNet, злоумышленники меняли настройки DNS-сервера незаметно для пользователей. Пользователь переходил на сайт, но вместо него попадал на поддельную страницу, а злоумышленник получал его логин и пароль.

Слева — пример, как хакеры предлагают загрузить вредоносное приложение под видом официального приложения ВОЗ.

Что изменилось с пандемией

Не появилось новых способов получения доступа к данным или новых способов защиты от похищения. Но возник новый контекст, который расширил уязвимости корпоративных сетей и повысил риски компрометации.

• Сотрудники стали более уязвимы к дезинформации. В текущих условиях резко возросло само количество дезинформации, а из-за нелегкой ситуации ей легко поверить. Следствием может быть заражение устройств вредоносным ПО.
• Сотрудники подключаются с плохо защищенных устройств. Домашние компьютеры, роутеры и мобильные телефоны значительно хуже спроектированы в плане защиты данных. Они становятся незащищенным хостом внутри корпоративной сети, могут использоваться для распространения вирусов и компрометации инфраструктуры.
• Уменьшился контроль. Из-за удаленной работы IT-отделы меньше видят, что происходит с системой. Они не успевают подстроить средства защиты и системы мониторинга.
• Быстрый переход к удаленной работе. Все поспешили с обеспечением удаленного доступа. Главное было продолжить работу, о безопасности позаботиться не успели.
• Теряется фокус и внимание из-за повышенной нагрузки. Сейчас все работают больше, чем до событий с коронавирусом. Повышаются риски, связанные с человеческим фактором, следовательно, системы становятся более уязвимыми.

Что делать. Общие рекомендации

Как мы уже писали выше, ничего кардинально нового не происходит. Произошла просто перефокусировка. 

Надеяться на лучшее, но готовиться к худшему
Повышается вероятность возникновения инцидентов и нужно быть к ним готовым. Сделать бэкапы данных, чтобы их можно было восстановить, и подготовить сотрудников к экстренной работе по восстановлению.

Работать с сотрудниками 
В информационной безопасности многое зависит от самих сотрудников. Важно предоставить им как можно больше информации о возможных угрозах. Научить выявлять фишинговые письма и вредоносные ссылки, использовать сложные пароли.

Привлекать профессионалов
Чтобы внедрить практики по информационной безопасности, нужны экспертиза и накопленный опыт. С нуля будут возникать ошибки, без которых легко можно было бы обойтись. Многие сейчас делятся своими решениями бесплатно — этим нужно пользоваться.

Тестировать цепочку поставок
Атаки часто происходят через партнеров компании. У вас может быть все защищено, а у партнера — в меньшей степени, и злоумышленник использует эти уязвимости, чтобы проникнуть в вашу инфраструктуру. Хакеры всегда ищут наименее затратные векторы атаки — и чаще всего это партнеры.

Не паниковать
Это самое главное в текущей ситуации. В следующем материале расскажем о том, в каком порядке и какие улучшения можно внедрять для кибербезопасности.

Обучение сотрудников информационной безопасности

Мы ставим обучение сотрудников выше, чем защиту инфраструктуры. Ведь все усилия по защите могут сойти на нет из-за неосведомленности работников о правилах соблюдения информационной безопасности. 

90% инцидентов в сфере кибербезопасности происходят из-за того, что сотрудники не знают основ работы с конфиденциальной информацией.

Одно фишинговое письмо или слабый пароль могут стать причиной серьезной атаки на ваши активы.

Мы проводим обучение сотрудников и проверяем, как они усвоили знания:
1. Только нужные, интересные и простые для понимания курсы повышения осведомленности сотрудников.
2. Контроль за процессом обучения в удобной форме.
3. Практические тестирования и выявление недочетов в имеющихся знаниях. Периодически рассылая поддельные письма, определяем тех, кому необходимо дополнительное обучение. 

Узнать подробнее