Вирусы, от которых не защитит карантин. Киберриски удаленной работы
От карантина пострадал не только тот бизнес, продажи и функционирование которого на время изоляции прекратилось, но и тот, который продолжил функционировать,— ударом исподтишка для него стал резкий переход на удаленный формат. Закрытые внутренние сети «приоткрылись» для хакеров, которые мобилизовали все свои ресурсы, чтобы воспользоваться ошибками и недочетами в безопасности компаний, спешно переходящих «на удаленку». «Спровоцировал ли биологический коронавирус аналогичную эпидемиологическую обстановку и в киберпространстве?» — задал вопрос экспертам модератор конференции, ведущий радиостанции «Коммерсантъ FM» Рамаз Чиаурели.
Многие компании выбрали самый простой способ обеспечения удаленного доступа к инфраструктуре для сотрудников — использовали протокол удаленного рабочего стола RDP, который позволяет удаленно подключаться к компьютерам под управлением Windows, рассказал руководитель отдела расследования инцидентов компании «Ростелеком-Солар» Игорь Залевский. По данным Solar JSOC, в середине марта число таких подключений резко выросло на 15% и составило 76 тыс., а к сегодняшнему дню увеличилось еще на 20 тыс. С ростом количества целей выросло и число попыток атак. «До апреля в среднем на одном заказчике у нас было от 3 до 5 попыток подбора пароля к удаленному рабочему столу, а 27 мая в день было от 9 до 12 таких попыток»,— рассказывает господин Залевский, поясняя, что в одну попытку входит от 200 до 1000 уникальных пар логин-пароль. Кроме того, в мае подобные атаки стали продолжаться дольше, теперь продолжаются от 2 до 4 часов без перерыва, что встречается нечасто: обычно злоумышленники стараются подбирать пароли «набегами» в течение дня.
В числе превентивных мер эксперт рекомендует настроить расширенное логирование на сервере, чтобы контролировать информацию о входах на сервер. Он отмечает, что если злоумышленники проникли на сервер, то чаще всего сразу стараются создать учетную запись на нем. Такие точки доступа к инфраструктуре компаний в даркнете стоят от 300 до 500 руб.: такая низкая цена обусловлена большим количеством предложений, подчеркивает спикер. По его словам, проблема безопасности носит массовый характер и затрагивает и маленькие компании, и крупные. «У нас была практика расследования в больших компаниях с большим штатом в отделе информационной безопасности, и для доступа в них злоумышленникам понадобилось полтора дня»,— рассказывает он.
Также хакеры могут монетизировать точку входа в инфраструктуру организации с помощью шифрования: получив доступ в компанию, они шифруют данные и требуют выкуп для дешифрования. Спасением в таких случаях может стать копирование данных, выполненное заранее.
Домашний компьютер — это по умолчанию взломанный компьютер, считает консультант по информационной безопасности Palo Alto Networks Денис Батранков. При обеспечении безопасности компании с удаленными сотрудниками нужно следовать принципу нулевого доверия к каждому сотруднику и даже к себе, заявляет спикер, предупреждая, что клик на любую ссылку может заразить весь компьютер. Нужно брать под контроль весь софт на рабочих станциях и смартфонах, потому что, даже сидя по VPN, сотрудники используют социальные сети, внешнюю почту, файлообменники и другие приложения, которые могут стать источником угроз. В числе мер безопасности он рекомендует обновить операционную систему, зашифровать диски для защиты от хищения, использовать персональные firewall и двухфакторную аутентификацию сотрудников.
В сложившейся обстановке возникла необходимость других подходов к информационной безопасности, полагает технический директор Trend Micro в России Михаил Кондрашин. Среди новых тенденций он называет переход на облачные системы. Раньше многие заказчики не хотели использовать облачные системы управления, но новая система сломала этот лед, и они начали понимать, что установить облако — проще и безопаснее, рассказывает господин Кондрашин. Кроме того, он рассказал о том, что атаки перестали быть массовыми: по статистике TrendMicro 95% угроз на организации — уникальные, и только 5% угроз реально заражают больше одной жертвы, а по-настоящему массовых — менее 1%.
Однако массовыми остаются фишинговые рассылки и сайты. Злоумышленники — очень хорошие «социальщики», отмечает руководитель департамента системных решений Group-IB Антон Фишман.В марте информации про COVID-19 еще было немного, и люди активно искали ее, чем начали пользоваться мошенники, рассылая тематические вредоносные рассылки, иногда содержащие даже полезную информацию, как, например, обновляемая online-карта распространения вируса, вспоминает он. После введения пропускной системы хакеры сменили тематику атак, и возникло огромное количество сайтов с фальшивыми справками и тестами на коронавирус — во время работы с ДИТ Group-IB обнаружили более 185 таких ресурсов, более 130 из них были заблокированы. Также популярностью пользуется схема «Курьер», продолжает господин Фишман. На сервисах объявлений появляются объявления о продаже товаров по сниженным ценам, продавцы переводят заинтересовавшихся покупателей в мессенджеры, получают данные человека для оформления доставки и отправляют ему ссылку на оплату, копирующую страницу оплаты популярных служб доставки. Средний чек такой атаки — 15–30 тыс. руб. Но более того, злоумышленники возвращаются к пользователю, говорят, что возникла проблема при переводе средств и второй раз списывают с него деньги. Ежедневный оборот одной группы — 200 тыс. руб., общий объем рынка — $1 млн.
В случае с корпоративными атаками во втором квартале в Group-IB наблюдают рост количества целевых атак, инсайдерских атак с использованием сотрудников, которых уволили или снизили зарплату, а также рост случаев шпионажа и мошеннической активности в отношении пожилых людей. Более 70% заражений крупных компаний происходит через первоначальный фишинг, «партнерские рассылки», фейковые письма от медорганизаций и подобные случаи, отмечает он. «Злоумышленник — такой же человек, как и мы с вами, он также ищет легкие пути: и вместо того чтобы атаковать что-то сложное, будет искать легкие способы заработать»,— рассказывает Антон Фишман.
В плане безопасности компаниям «надо бежать чуть быстрее соседа по отрасли, быть чуть более защищенным и все будет нормально», соглашается технический директор Qrator labs Артем Гавриченков. Он отмечает, что многие компании были не готовы к резкому росту трафика в России, даже несмотря на то, что в Европе в феврале трафик у провайдеров вырос от 40% до 80% и его рост в России был ожидаемым. В России все ожидали роста трафика на сервисе онлайн-образования — и он вырос на 2,8% за одну неделю, но есть ряд сервисов, которые выросли еще более значительно: это криптобиржи (+5,56%), форекс (+3,13%), видеосервисы (+5,32%). Причем трафик на нелегитимные сервисы, распространяющие пиратский контент, вырос намного сильнее, добавляет он. Весной YouTube и Netflix были вынуждены снизить качество видео, потому что домашние сети не справлялись, операторы регулярно допускают ошибки, и в случае развития ситуации злоумышленники могут начать использовать уязвимое оборудование операторов связи, предупреждает спикер.
Далеко не для всех компаний переход на удаленную работу стал тривиальной задачей ― 11% опрошенных нами респондентов отметили, что удаленная работа организовывалась экстренно, говорит директор экспертного центра Positive Technologies Алексей Новиков. При этом львиная доля всех опрошенных (более 80% в совокупности) сообщает, что в их компаниях допускается использование для работы личных устройств, что, безусловно, имеет ряд рисков информационной безопасности. Всевозможные временные схемы удаленного доступа, которые вводились в режиме «сейчас нужно срочно, но позже поправим», нередко сохраняются надолго. Тот же опрос показал, что в 57% случаев способы организации удаленного доступа меняться не планируют. И долгожданный выход с «удаленки» (как отсечка для отказа от временных мер) для служб ИБ, адаптировавшихся к новым условиям, далеко не повод для того, чтобы расслабиться: недостаточно просто восстановить те процессы, которые существовали ранее. Выход сотрудников в офисы с удаленной работы требует учесть ряд новых рисков, в частности, необходима проверка всего, возвращаемого в офисную сеть, оборудования на наличие вредоносного ПО, которое, к слову, далеко не всегда обнаруживается стандартными антивирусными средствами. Или, скажем, по возвращении с удаленки все без исключения пароли сотрудников стоит обновить. Да и сам периметр компании теперь не тот и требует оперативной инвентаризации на предмет доступных из интернета сервисов. Ну, и конечно, надо учитывать, что в период тотальной «удаленки» злоумышленник при желании уже имел шанс проникнуть в инфраструктуру (на это необходимо не так уж много времени, а в условиях массового изменения стандартных моделей поведения сотрудников, ему было относительно легко замаскироваться), поэтому одна из первых задач, которые мы рекомендуем решить службам ИБ,―провести ретроспективный анализ и убедиться, что системы не были взломаны в период «удаленки» или ранее, заключает спикер.
Компании, попробовавшие «удаленку», уже потратили силы и ресурсы, поэтому глупо уходить с этого пути, полагает Антон Фишман. Для злоумышленников ничего особо не поменялось, они и так следили за трендами, а «безопасникам» стало сложнее, и после пандемии у кибербезопасности какое-то время займет набор темпов и развитие важной для противодействия АРТ-группировкам международная конгломерации.
Международное взаимодействие необходимо, но пока заморожено, соглашается Артем Гавриченков. Однако культура многих компаний не позволит им полностью перейти на «удаленку», они будут постепенно возвращать в офис сотрудников, возражает он, прогнозируя, что в течение 2020 года «мы еще увидим всплеск атак на забытые кем-то шлюзы, которые развернули на время карантина и забыли убрать».