Что объединяет украинские энергосети, центральный банк Бангладеш и WADA (Всемирное антидопинговое агентство)? Все они в последний год стали жертвами высокопрофессиональных кибератак, которые привели к долгим простоям в работе, финансовым потерям и нанесли серьезный урон их репутации. Более того, уже знакомые сценарии взломов были реализованы в новых атаках: у LinkedIn и Yahoo украли сотни миллионов аккаунтов и паролей пользователей.

Учитывая это, неудивительно, что в 2016 году более 60% генеральных директоров назвали кибербезопасность ключевой проблемой, угрожающей как коммерческим, так и национальным интересам. По результатам опроса PwC, в списке самых важных глобальных проблем кибербезопасность соседствует с социальной нестабильностью и лишь немного уступает геополитической неопределенности. В результате, 54% CEO европейских компаний берут на себя ответственность за безопасность. Таким образом, обеспечение безопасности постепенно переходит от специализации ИТ-отдела в зону ответственности руководителей бизнеса.

Тем не менее, далеко не все осознают риски, связанные с киберугрозами. Тем более не все понимают, как правильно реагировать на попытки атак. Итак, что стоит учитывать генеральным директорам, которые хотят защитить свой бизнес?

Урок 1: Взломать могут кого угодно

Последнее исследование Check Point Security Report, основанное на данных 10 тыс. компаний по всему миру, показывает, что в 2016 году сотрудники корпораций посещали больше вредоносных сайтов, скачивали еще больше зараженных программ, а также чаще загружали неизвестные зловреды, чем раньше. Согласно отчету, каждый час происходит более 970 установок неизвестного зловредного ПО — это на 900% больше, чем в предыдущем году.

Особенно распространены неизвестные варианты программ-вымогателей. Зловреды последнего поколения, такие как Locky и TeslaCrypt, написаны специально для того, чтобы избежать обнаружения современными системами безопасности. В результате, антивируса и других сигнатурных решений больше не достаточно для борьбы с ними. Вдобавок к антивирусу сегодня компаниям нужно использовать инструменты и технологии, которые блокируют подозрительный контент, анализируя его поведение и источники, а не сигнатуры. Продвинутые многоуровневые решения для предотвращения угроз — это не просто приятное дополнение для полной уверенности в безопасности, а острая необходимость.

Урок 2. Данные могут украсть за несколько минут

Исследование Verizon 2016 Breach Investigations Report выявило, что период от взлома сети до кражи данных может длиться несколько минут, а вовсе не часы или дни, как считалось ранее. Эксплойты нулевого дня, которым киберпреступники отдают предпочтение для создания неизвестных угроз, также быстро эволюционируют. Компании больше не могут просто распознавать зловред, его необходимо останавливать до того, как он проникнет в сеть. Среди подходящих для этого решений, например, песочницы для тестирования входящего трафика. Песочница — это тестовая изолированная среда, в которой можно открыть подозрительный файл и посмотреть, как он будет себя вести. Если он проявляет подозрительную активность, система его блокирует. Благодаря песочницам можно вовремя вычислить вредоносный контент, замаскированный под невинные на первый взгляд файлы.

Также очень важно изучить корпоративную ИТ-инфраструктуру. Сегментирование сети может предотвратить продвижение киберпреступников внутри периметра и минимизировать урон в случае, если атака все-таки состоится.

Урок 3. Сотрудники — самое слабое звено

Фишинг и социальная инженерия стали еще популярнее в 2016 году. Многие крупнейшие кибератаки начались именно с социальной инженерии, например, кража 21 миллиона записей из Управления кадровой службы США. Усовершенствованные фишинг-атаки могут быть весьма убедительными: хакеры вынуждают сотрудников добровольно передавать им личную информацию или учетные данные для входа в систему. В результате киберпреступники могут свободно перемещаться в корпоративной сети, не оставляя практически никаких следов вредоносной активности. Одна из атак недавно обошлась крупнейшему европейскому поставщику проводов и электрических кабелей Leoni AG в 40 млн. долл. Мишенью хакеров могут стать сотрудники любого уровня. Ошибки и человеческий фактор невозможно полностью исключить, однако регулярное обучение персонала в области ИБ может существенно снизить риск успешной атаки.

Урок 4. Безопасность — серьезная проблема при переходе в облако

Облачные приложения и сервисы становятся важной частью экосистемы многих ИТ-компаний — около 40% ИТ-активов компаний сегодня находятся в облаке, что делает защищенность корпоративной облачной среды ведущим бизнес-приоритетом. Безопасность остается одним из самых серьезных испытаний, с которыми сталкиваются компании при переходе в облако, оставляя позади даже сложности с соответствием требованиям регуляторов.

Модели трафика значительно меняются, когда бизнес переводит приложения и данные в облачные среды. В виртуализированных или программно-определяемых средах вплоть до 80% сетевого трафика перемещается между приложениями и различными сетевыми секторами, фактически никогда не пересекая защитного периметра сети. В этом случае поможет микросегментация, когда различные области виртуальной сети, рабочих нагрузок и приложений логически сгруппированы вместе и изолированы друг от друга внутренним контролем безопасности. Такой подход обеспечивает защиту критически важных бизнес-приложений и данных в облаках.

Урок 5. Реагировать на атаку нужно быстро и по плану

Даже используя продвинутые решения защиты, нельзя быть уверенным, что кибератака будет предотвращена со 100%-ной вероятностью. Однако правильная реакция поможет сократить ущерб. Чтобы правильно среагировать на аварию, руководству компании стоит утвердить план ответных действий для различных типов атак. Только четкое следование сценарию может обеспечить непрерывность работы организации. План также необходимо протестировать на эффективность: полученные данные помогут усовершенствовать ответные меры и сократить время простоя после атаки.

Автор статьи — архитектор ИБ-решений Check Point Software Technologies.