Россия. Москва. 11 мая 2021 года. Rainbow. Число кибератак в мире резко выросло. Как подготовиться к визиту на домашний компьютер или корпоративный сервер непрошенных гостей? Проанализируем, как меняется тактика современных хакеров и что им можно противопоставить.
Что под угрозой. За последнее время отмечается все больше новых видов кибератак на госкомпании, объекты промышленности, образования, медицины, науки и финансов. Информация становится все более ценной. На эти сферы приходится более половины производимых атак. Растет интерес киберпреступников к персональным данным, банковским счетам и интернет-аккаунтам. Чаще атаки становятся целенаправленными, а не массовыми, так как последние не дают гарантии денежной прибыли.
Можно отметить рост объединений хакеров для совместных киберпреступных действий — успешного взлома систем защиты крупных компаний с последующим разделом прибыли. В таких группах каждый участник имеет свою специализацию: от создания до доставки и маскировки вредоносных ПО под часть рабочей системы компании. Хакеры используют новые программы-эксплойты для уязвимостей, например, в архиваторах. Все больше становится троянов-шифровальщиков.
В результате происходит кража или уничтожение данных, остановка работы критически важных систем с целью получения выкупа, организация сбоев системы или просто внедрение дополнительного вредоносного контента по всей сети организации.
Большинство кибератак не предается огласке из-за репутационных рисков, в связи с этим оценить точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп.
С ростом популярности мобильных платежей растет и количество способов атаки на платежные системы. Злоумышленники все чаще используют функции обмена сообщениями WhatsApp, Facebook и Twitter для взаимодействия, развития отношений с корпоративными сотрудниками и последующей их компрометации.
Как защититься. Обычному человеку достаточно использовать антивирус, не скачивать и не открывать подозрительные сообщения и файлы и чаще менять пароли. Соблюдение этих трех правил существенно снижает риски. Организациям для максимальной защиты необходимо выполнять как минимум шесть условий и применять следующие технические средства:
1) системы централизованного управления обновлениями для ПО с учетом сведений об актуальных угрозах безопасности;
2) системы защиты от вирусов с изолированной средой для динамической проверки и блокировки вредоносных файлов до момента их открытия сотрудниками. Наиболее эффективно помогает использование антивирусного ПО, построенного на решениях сразу нескольких производителей, способного обнаруживать скрытое присутствие программ, выявлять и блокировать активность в различных потоках данных;
3) SIEM-решения как средства своевременного выявления и эффективного реагирования на инциденты. Такие решения позволяют вовремя выявлять попытки взлома инфраструктуры и принимать оперативные меры по нейтрализации угроз;
4) межсетевые экраны уровня приложений (Web Application Firewalls) помогают защитить веб-ресурсы;
5) системы глубокого анализа сетевого трафика для обнаружения сложных целевых атак в реальном времени и в сохраненных копиях трафика, а также атак на контроллер домена. Такой подход позволяет существенно снизить время скрытного присутствия нарушителя в инфраструктуре;
6) отслеживание числа запросов к ресурсам в секунду и настройка конфигурации серверов и сетевых устройств под типичные сценарии атак, такие как множественные запросы.
Александр Тимофеев, доцент кафедры информатики РЭУ имени Г. В. Плеханова, специально для Радио Голос Балтии (Калининград).