На состоявшейся на прошлой неделе в г. Лас-Вегасе конференции по информационной безопасности Black Hat USA широко освещались последние новости в области киберугроз, уязвимостей и эксплойтов. Хорошая новость в том, что технологии безопасности достигли небывалого уровня развития, а специалисты по безопасности совершенствуются в обнаружении попыток взлома и запуска вредоносного ПО.
Плохая новость в том, что, хотя большинство видов угроз можно свести на нет, просто следуя базовому набору правил безопасности, требующих элементарного здравого смысла и адекватной подготовки, именно эту рекомендацию руководство компаний часто игнорирует, упускает из виду либо отвергает по причине экономической нецелесообразности.
Эксперты на конференции сошлись во мнении, что вовремя устанавливая исправления к операционным системам и приложениям, обучая персонал и сотрудников техникам обнаружения угроз и проводя резервное копирование данных, можно добиться гораздо лучших результатов в плане защиты предприятия, чем применяя ультрасовременные технологии обнаружения угроз на основе машинного обучения.
Ни одна система безопасности не сможет предотвратить фишинговую атаку (суть которой состоит в том, чтобы обманным путем заставить пользователя кликнуть на ссылки, загружающие вредоносный код на его компьютер), если пользователи продолжают открывать вложения в электронной почте или кликать по ссылкам, не замечая отличительных признаков угрозы и не осознавая потенциальных рисков.
В этой сфере много внимания к себе привлекает компания KnowBe4, занимающаяся обучением принципам безопасности и представляющая особый интерес благодаря своему «директору по хакерским атакам» Кевину Митнику, бывшему хакеру с дурной славой, который теперь предлагает свой многолетний опыт в области социальной инженерии в помощь предприятиям, желающим отразить попытки фишинга и атаки программ-вымогателей.
«Я занялся социальной инженерией с 16 лет, — рассказал Митник в интервью на конференции. — Я хулиганил, но злых намерений не имел. Методы, которыми я пользовался в
Персонал компании KnowBe4 посвящает клиентов в тонкости «уличного ремесла плохишей» с целью открыть им глаза на проблему, утверждает Митник. После этого проводится обучение сотрудников ИТ-отдела, как создавать пробные фишинговые атаки, направленные против собственных пользователей компании, чтобы те всегда были начеку и оставались в курсе возможных угроз.
С другими видами уязвимостей нужно соблюдать другого рода осмотрительность, а именно следить за тем, чтобы критические бизнес-приложения вовремя обновлялись и исправлялись. За последние несколько недель приложения для планирования ресурсов предприятия (Enterprise Resource Planning, ERP), включая предлагаемые компаниями SAP и Oracle, были признаны особо уязвимыми, главным образом потому, что у большинства организаций на своевременную установку обновлений часто нет ни времени, ни средств, ни нужных ресурсов.
В мае Министерство внутренней безопасности США сделало первое в своем роде предупреждение: в системах SAP обнаружены дыры в безопасности, которые компания-производитель устранила, но из-за того, что подготовленные ею исправления никто не удосужился установить, пользователи этих систем все еще находились под угрозой.
Даже наиболее зрелые организации максимум стараются быть в курсе патчей безопасности, говорит Хуан Перес-Этчегоен, технический директор фирмы Onapsis, консультирующей по вопросам безопасности SAP. «Безопасность — это большая головная боль для клиентов, — считает он, так как они часто предпочитают устранить проблему, подождав крупного обновления, вместо того, чтобы попробовать установить патч, рискуя поломать фирменную конфигурацию. — Не бывает двух одинаковых инсталляций SAP».
При всем этом невозможно обеспечить абсолютную безопасность корпоративной сети, если топ-менеджмент не будет всерьез воспринимать проблемы безопасности и не сделает ее обеспечение приоритетной задачей. Проблема достигла критической точки в случае с программами-вымогателями. Все больше компаний, особенно в сфере здравоохранения и финансов, попадают под удар хакеров, которые зашифровывают файлы и затем требуют выкуп в обмен на ключи для расшифровки файлов.
Согласно данным недавнего исследования, проведенного компанией Osterman Research по заказу Malwarebytes, за последний год 80% организаций стали жертвами кибератаки, а около 50% подверглись атакам программ-вымогателей.
Генеральный директор Malwarebytes Марцин Клечински заявил, что программы-вымогатели уже направлены не только на отдельных жертв. «Это явление переросло в настоящую эпидемию в бизнес-сфере», — сказал он, добавив, что виды мошеннических схем, инсценированные в телевизионной передаче «Мистер Робот», вовсе не являются научной фантастикой.
В таких случаях владельцам бизнеса часто проще заплатить выкуп, чем попытаться самостоятельно справиться с ситуацией или изначально принять дополнительные превентивные меры — все это никак не способствует предотвращению новой волны атак с использованием программ-вымогателей.
В большинстве случаев с вымогательским ПО преступники требуют выкуп в биткоинах, а на покупку этой валюты может уйти время, если жертву застали врасплох. Так что опытные директора по безопасности все чаще стараются держать на специальном счету запас биткоинов, которыми можно рассчитаться в случае необходимости.
«Обучение персонала по-прежнему остается наиболее эффективным решением», — подвел итог Клечински.
