О дивный новый мир. Кибербезопасность на «удалёнке»
Уже около двух месяцев мы живем в новой реальности – минимизируем контакты, выходим из дома только в случае необходимости, работаем удаленно, постоянно находимся под прессом тревожных новостей. Поставив весь мир на паузу, парализовав значительную часть бизнеса и уничтожив привычную повестку, пандемия в то же время заставила ряд проблем звучать острее. Одна из них – кибербезопасность.
В отличие от большинства, индустрии кибербезопасности не пришлось решать новые для себя задачи: специалисты продолжают выявлять актуальные угрозы, защищать корпоративную инфраструктуру и блокировать вредоносную активность, в том числе эксплуатирующей тему COVID-19. Главная перемена – возросший объем этих задач, вызванный переходом на удаленную работу, зачастую при недостаточной осведомленности о рисках, которые она может нести в части информационной безопасности.
Дистанционная работа сотрудников государственных и частных организаций вскрыла проблемы, которые многие компании предпочитали игнорировать в обычных условиях. Вскоре после череды сообщений об уязвимостях в безопасности приложения для видеоконференций с многомиллионной аудиторией Zoom, лоукостер EasyJet заявил о взломе своей информационной системы, затронувшем 9 миллионов клиентов. Всемирная организация здравоохранения сообщала, что количество кибератак на организацию возросло в пять раз на фоне пандемии, и предупреждала о рассылках мошенниками электронных сообщений от имени ВОЗ. Это лишь несколько примеров: резкий рост онлайн-угроз, фиксируемый экспертами Group-IB в связи с удаленной работой, говорит о том, что шлейф последствий будет тянуться и после окончания карантина.
«Удалёнка» в цифрах
Group-IB провела опрос в рамках специального проекта, посвященного безопасной удаленной работе StayCyberSafe, чтобы узнать, как именно бизнес организовал домашний офис для своих сотрудников и учитывал ли при этом особенности обеспечения безопасности территориально-распределенной сетевой инфраструктуры.
Для профилактики компьютерных преступлений Group-IB запустила информационный ресурс #StayCyberSafe, который призван помочь частным и государственным организациям обеспечить безопасную удаленную работу в период карантина. Портал постоянно пополняется новой информацией, на нем также можно задать свой вопрос экспертам или сообщить об инциденте.
При работе сотрудников вне офиса возникает риск кражи данных компании и увеличения количества угроз информационной безопасности.
Специалисты Group-IB подготовили материалы, которые позволят обеспечить комфортную и безопасную удаленную работу для вас и ваших сотрудников
По данным Group-IB, большинство компаний в России и мире полностью (74%) или частично (10%) перешли на работу из дома в связи с объявленной пандемией. Большинство организаций выстраивали систему удаленного доступа с нуля – лишь для 31% из них удаленная работа не является чем-то новым.
Чаще всего на удаленную работу переводят департаменты ИT и ИБ – в 73% случаев. За ними следуют сотрудники бухгалтерии, которые работают из дома в 61% случаев. Реже всего в организациях переводят на удаленную работу департаменты производства и логистики – 26% и 27% соответственно. При этом в 5% случаев компании перевели на домашний офис все отделы.
«Удалёнка» безусловно прибавила головной боли ИТ- и ИБ-специалистам, поменяв веса на карте рисков. Теперь каждый, кто работает из дома, – это дополнительная мишень для киберпреступника и несколько потенциальных лазеек в корпоративный периметр.
Киберугрозы в эпоху пандемии
Для бизнеса июнь обозначит двухмесячный рубеж в режиме удаленной работы. Если компании только продолжают приспосабливаться к новому порядку, пытаясь наиболее эффективно выстроить свои процессы, то адаптация киберпреступников к нему уже успешно завершилась.
Один из недавних кейсов из практики Group-IB: компания оперативно перевела часть сотрудников на дистанционную работу, дав им инструкции по настройке удаленного доступа, но не проведя с ними должных тренингов, а также не ограничив доступ к корпоративным сервисам. Через пару недель тревогу забила бухгалтер – увидела неавторизованные транзакции, мелкие, но много. В рамках удаленного реагирования на инцидент выяснилось, что домашний ноутбук, которым пользовалась вся семья, оказался заражен трояном. ВПО «проникло» простым способом – сотрудница загрузила бухгалтерские документы с поддельного под известный ресурс сайта. В архиве, помимо документации, оказался и троян.
Переход всего мира на работу из дома значительно расширил карту онлайн-угроз. Активизировались финансово-мотивированные преступники, для которых «удаленка» ослабила контроль за сотрудниками банков и финансовых организаций со стороны ИБ- и СБ-отделов.
Высокая вовлеченность аудитории в тему COVID-19 сделала вредоносные рассылки, эксплуатирующие эту тему, универсальным первичным вектором проникновения. Эксперты Центра реагирования на инциденты кибербезопасности CERT-GIB каждый день фиксируют новые примеры рассылок для заражения пользователей вирусами-шифровальщиками, банковскими троянами или программами-шпионами, которые в числе прочих приходят на корпоративные ящики сотрудников компании. C начала пандемии было зафиксировано 230 уникальных вредоносных рассылок.
Коррективы, которые карантин внес в планы рабочих командировок, отпусков и путешествий, позволил операторам фишинговых кампаний значительно увеличить пул целевых брендов. С момента введения ограничений на поездки системы Group-IB фиксировали фишинг на популярные сервисы для путешествий – Booking.com, Tutu.ru и Airbnb.com.
Оборона периметра
Еще один кейс: в разгар пандемии сотрудник на «удаленке» получает письмо со списком работающих из офиса коллег, у которых тест на коронавирус дал положительный результат. Открыв прикрепленный к письму PDF-файл, он загружает на свое устройство шифровальщик Aurora, шифрующий все файлы на зараженном устройстве, а для их расшифровки требующий выкуп в биткоинах. Безрадостный период карантина для этого представителя топ-менеджмента становится только мрачнее, ведь не для этих целей он хранил криптовалюту.
Удаленная работа и связанные с ней риски усилили роль автоматизированных систем защиты, которые в непрерывном режиме осуществляют мониторинг угроз для всех элементов распределенной ИT-инфраструктуры, обеспечивая ее устойчивость как единого комплекса.
Режим удаленной работы требует создания «четвертой стены» в обороне сетевого периметра, чтобы замкнуть его и сделать недосягаемым для злоумышленника. В этом контексте особое внимание следует уделять решениям, способным защищать этот периметр, независимо от того, что он значительно расширился и теперь не ограничивается офисом.
Для защиты распределенной инфраструктуры от киберугроз эксперты Group-IB рекомендуют использовать систему раннего предупреждения кибератак, основанную на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой. В линейке Group-IB эту функцию выполняет система Threat Detection System (TDS), позволяющая предотвратить заражения в результате вредоносных почтовых рассылок, а также различных типов атак, в том числе с использованием ранее неизвестных вредоносных программ и инструментов.
Принцип действия периметровых систем защиты строится на анализе входящего и исходящего трафика организации. Так, Group-IB TDS умеет не только выявлять сетевые аномалии методами машинного обучения, но и выносить вердикт о степени опасности объекта на основании классификатора, формируемого системой поведенческого анализа. Фактически пользователю не придется думать, насколько подозрительным выглядит то или иное письмо, TDS «увидит» его, распакует в среде, изолированной от сети компании, проверит на вредоносность и в зависимости от вердикта даст ему зеленый или красный свет. Кроме того, продукты линейки TDS выявляют коммуникации зараженных устройств с командными центрами, общие сетевые аномалии и необычное поведение устройств.
TDS в работе ИТ- и ИБ-специалистов – это инструмент внутреннего и внешнего Threat Hunting (охота за угрозами). Продукты линейки агрегируют и хранят все данные с других модулей, позволяя осуществлять ретроспективный анализ атаки, корреляцию и исследование различных событий, а также при необходимости атрибуцию до конкретной группы атакующих. Запатентованные технологии продуктов используют экспертизу и эксклюзивную разведывательную информацию киберразведки Group‑IB Threat Intelligence.
Threat Detection System – комплексное решение для защиты от сложных киберугроз, основанное на технологиях слежения за киберпреступниками, их инструментами и инфраструктурой.
Принцип минимальных привилегий
Помимо технологий, важно проверить все, ли принципы организации удаленной работы реализованы в компании. Один из них – Zero Trust: каждое удаленное устройство потенциально скомпрометировано, а значит, нельзя давать им полного доступа в корпоративную сеть, а вместо этого использовать лишь изолированный сегмент.
Реализация данного принципа возвращает нас к классике информационной безопасности: разграничение доступа пользователей к внутренним системам по принципу минимальных привилегий (least privilege principle). Не нужно предоставлять всем пользователям доступ ко всему, их нужно обеспечить лишь теми сервисами, которые действительно понадобятся им для выполнения необходимых бизнес-процессов.
Вернемся к опросу Group-IB: чаще всего в компаниях, где работают респонденты, для удаленной работы были настроены доступы к почтовому (78%) и файловому (66%) серверам, а также к внутренним корпоративным системам (71%). Критичными корпоративными системами, доступ к которым должен предоставляться в исключительных случаях, являются системы Enterprise Resource Planning (ERP), используемые финансовым менеджментом, системы Product Lifecycle Management (PLM), управляющим жизненным циклом производства, и системы Customer Relationship Management (CRM), хранящие данные о базе клиентов и взаимодействиях с ними.
Гигиена, которая останется
Вопреки маркетинговым листовкам разных вендоров, кибергигиену не следует считать панацеей, которая защитит от киберинцидентов. Цифровая грамотность важна, но в условиях удаленной работы и роста киберпреступности бдительность сотрудников и технологии защиты от кибератак соревнуются в разном весе.
Дав персоналу рекомендации по безопасной работе из дома (базовые инструкции были также собраны сотрудниками Group-IB в отдельную памятку), приоритетное внимание необходимо уделить правильной механике удаленной работы и ее аудиту, а также средствам, обеспечивающим ее устойчивость перед онлайн-угрозами.
Недавнее реагирование Group-IB было связано именно с отсутствием проработанной схемы перехода на «удаленку» и необходимых проверок. Компания перешла на дистанционную работу очень оперативно, всех подготовила, предоставила сотрудникам необходимый доступ, но после реализации схем не провела соответствующего тестирования. В итоге оказалось, что один из ПК, используемый для удаленного доступа, не был обновлен и содержал уязвимую RDP-службу, через которую злоумышленники получили доступ ко всей компании, зашифровали все данные и стали требовать выкуп.
Чек-лист по организации удаленной работы
Давайте еще раз проверим, какие меры по минимизации рисков были приняты. Эксперты Group-IB составили чек-лист для руководителей и специалистов ИБ-отделов по организации удаленной работы.
Вне зависимости от метода организации удаленной работы, на сетевом уровне необходимо убедиться в следующем:
-
Удаленный доступ к сети организации защищен двухфакторной аутентификацией.
-
Журналы удаленного доступа достаточно подробны, и имеется запас свободного места для хранения информации об удаленном доступе за последние 6 месяцев.
-
На период массовой удаленной работы SOC осведомлен о важности более тщательного мониторинга любой аномальной активности.
-
Любой подключаемый хост должен попадать в отдельную изолированную зону, из которой осуществляется доступ к необходимым ему сервисам.
-
Внешние каналы, предназначенные для доступа компании в Интернет, имеют достаточную пропускную способность, предусмотрено резервирование у нескольких интернет-провайдеров.
-
Пользователи знают и понимают правила информационной безопасности.
-
Реализовано разграничение доступа к необходимым сервисам для разных групп пользователей с учетом принципа минимальных привилегий.
-
Предусмотрено автоотключение пользователей при неактивности.
-
Сотрудник ограничен одной активной сессией.
Это не все рекомендации, больше инструкций было собрано в рамках проекта StayCyberSafe на сайте Group-IB. Изучайте материалы с рекомендациями о том, как обеспечить непрерывный рабочий процесс, предотвращать, обнаруживать и реагировать на кибератаки, a также защищаться от действий злоумышленников, и оставайтесь CyberSafe.
Опубликовано 01.06.2020