Предотвращение кибератак

Киберпреступность постоянно угрожает пользователям, организациям и государствам во всем мире. Исследования показывают, что в 2021 году число атак на корпоративные сети увеличилось на 50% по сравнению с 2020 годом. Помимо финансовых потерь, киберпреступления наносят компаниям нематериальный урон, вредя их репутации и подрывая доверие клиентов. Может показаться, что вопрос кибербезопасности актуален только для крупных организаций, однако частные лица и компании любых размеров нуждаются в киберзащите ничуть не меньше. Киберугрозы настолько распространены, что игнорировать эти риски уже невозможно.

Что такое кибератака?

Кибератака – это попытка киберпреступников вывести компьютеры из строя, похитить данные или использовать взломанную компьютерную систему для проведения дополнительных атак. В последние годы кибератаки стали значительно изощреннее, что делает их предотвращение актуальной задачей для всех пользователей и организаций.

В основе киберпреступлений лежит эффективная эксплуатация уязвимостей. При этом ИБ-отделы компаний находятся в незавидном положении, ведь защищать нужно все возможные точки входа, тогда как злоумышленникам достаточно найти и успешно использовать всего одно слабое место или уязвимость. Этот дисбаланс на руку киберпреступникам, поэтому даже крупные организации порой оказываются не в состоянии защитить свои сети от проникновения злоумышленников.

Любое подключенное к интернету устройство может стать как целью, так и инструментом киберпреступников, поэтому под угрозой находятся и частные лица, и компании любых масштабов. Малые и средние компании, несмотря на их кажущуюся неприметность, могут оказаться в зоне повышенного риска, так как зачастую они используют более простые защитные решения. При этом SMB-компании часто выступают в роли сторонних поставщиков для более крупных организаций, а значит, проникновение всего лишь одного перехватчика паролей в систему небольшой компании способно привести к компрометации всей цепочки.

Типы кибератак

Наиболее распространены несколько типов кибератак.

Вредоносное ПО

Вредоносное ПО (программное обеспечение) – общее название программ, созданных для внедрения на устройства с целью их последующей эксплуатации злоумышленниками для извлечения выгоды и нанесения ущерба пользователям. Существуют разные виды вредоносного ПО, но в каждом случае злоумышленники используют приемы для обмана пользователей и обхода систем безопасности. Все это – с целью установить вредоносную программу на устройство или систему без ведома пользователя. Вот несколько самых распространенных видов вредоносного ПО.

• Программы-шифровальщики – ПО, которое блокирует компьютер, а затем требуют выкуп за восстановление доступа к нему.
• Троянцы – вредоносные программы, которые обычно скрываются во вложениях к электронным письмам или внутри бесплатно загружаемых файлов, чтобы затем загрузиться на устройство пользователя. Троянцы могут собирать личные данные пользователей, включая логины и пароли, платежную информацию и многое другое.
• Шпионское ПО – программы, которые позволяют злоумышленнику незаметно получать конфиденциальную информацию с чужого компьютера через скрытую передачу данных с его жесткого диска. Шпионские программы для кражи конфиденциальной информации также могут перехватывать данные, вводимые с клавиатуры, и делать снимки экрана.

Распределенные атаки типа «отказ в обслуживании» (DDoS)

В рамках распределенной атаки типа «отказ в обслуживании» (DDoS) нескольких зараженных компьютерных систем атакуют одну цель, например сервер, веб-сайт или другой сетевой ресурс, делая его недоступным для пользователей. Отправка огромного потока входящих сообщений, запросов на подключение или некорректно сформированных пакетов приводит к замедлению или сбоям в работе атакуемой системы, в результате чего настоящие пользователи или системы не могут воспользоваться атакованным ресурсом.

Фишинг

В рамках фишинговой атаки мошенник при общении по электронной почте или другим каналам связи притворяется доверенным лицом, например представителем банка или крупной компании, чтобы распространить вредоносные ссылки или вложения. Цель атаки – обманным путем выудить у ничего не подозревающей жертвы ценную информацию, например пароли, данные банковских карт, объекты интеллектуальной собственности и так далее.

Целевой фишинг – атаки, направленные на конкретных пользователей или организации. Частный случай целевого фишинга – уэйлинг-атаки, нацеленные исключительно на высшее руководство компании. Например, преступники могут попытаться скомпрометировать корпоративную электронную почту жертвы: они атакуют конкретных сотрудников, уполномоченных одобрять финансовые транзакции, и затем обманным путем вынуждают их перевести деньги компании на счет, принадлежащий злоумышленнику. По оценкам ФБР, за период с 2016 по 2021 гг. размер ущерба от атак с компрометацией корпоративной электронной почты составил 43 млрд долларов.

Атаки с использованием SQL-инъекций

Большинство веб-сайтов работают с базами данных, что делает их уязвимыми для атак с использованием SQL-инъекций. SQL-запрос – обращение к базе данных для выполнения какого-либо действия. Тщательно составленный вредоносный запрос способен привести к созданию, изменению или удалению информации, хранящейся в базе данных, а также может позволить злоумышленнику считать или извлечь из базы объекты интеллектуальной собственности, личные данные клиентов, учетные данные администраторов и другие ценные данные.

Межсайтовый скриптинг (XSS)

Межсайтовый скриптинг (XSS) – это атака, в рамках которой недоверенный источник получает возможность внедрить свой код в веб-приложение, после чего вредоносный код вместе с динамическим содержимым попадает в браузер жертвы. Это позволяет злоумышленнику выполнять в браузере другого пользователя вредоносные скрипты, написанные на различных языках, включая JavaScript, Java, Ajax, Flash и HTML.

Межсайтовый скриптинг (XSS) позволяет киберпреступнику похитить cookie-файлы другого пользователя, чтобы затем выдать себя за него, а также может использоваться для распространения вредоносного ПО, порчи контента веб-сайтов и публикации на них нежелательных материалов, атак на социальные сети, кражи учетных данных и, вкупе с приемами социальной инженерии, для осуществления еще более разрушительных кибератак.

Ботнеты

Ботнет – это сеть из нескольких подключенных к интернету зараженных компьютеров и устройств, которыми удаленно управляют киберпреступники. Ботнеты часто используются для рассылки спама, накручивания кликов и создания вредоносного трафика для DDoS-атак. Цель создания ботнета – заразить как можно больше подключенных к интернету устройств, а затем использовать их вычислительные мощности и другие ресурсы для автоматизации и масштабирования вредоносной активности. Развитие интернета вещей привело к тому, что ботнеты стали одной из самых быстрорастущих категорий киберугроз.

Что делать, если вы подверглись кибератаке

Обнаружив, что ваш бизнес подвергся кибератаке, нужно действовать быстро. Главная цель на данном этапе – остановить атаку и минимизировать ущерб.

Мобилизуйте команду

В первую очередь необходимо задействовать сотрудников, которые отвечают за кибербезопасность вашей организации. В идеале члены команды должны обладать необходимыми навыками и знаниями по противодействию кибератакам.

Определите тип кибератаки

Определив тип атаки, вы поймете, на чем сосредоточиться и как лучше нейтрализовать угрозу, чтобы восстановить работу организации. Также важно определить наиболее вероятный источник атаки, ее масштаб и приблизительный ущерб.

Локализуйте атаку

Крайне важно выявить и перекрыть все пути доступа, по которым злоумышленники могли проникнуть в ваши системы. Независимо от типа кибератаки, рекомендуется незамедлительно выполнить следующее:

• Отключить зараженную сеть от интернета
• Отключить возможность удаленного доступа к сети
• Перенаправить сетевой трафик
• Сменить все уязвимые пароли

Цель – лишить злоумышленников возможности заполучить доступ к вашей системе. После этого можно заниматься восстановлением безопасной работы системы.

Оцените и устраните ущерб

После локализации атаки необходимо определить, были ли скомпрометированы важные для бизнеса функции, какие данные могла затронуть атака и к каким системам злоумышленники получили доступ, а также выявить все оставшиеся точки несанкционированного доступа. Может потребоваться восстановление скомпрометированных данных из резервных копий, переустановка систем, замена или ремонт поврежденного оборудования.

Сообщите об атаке

В зависимости от вашей юрисдикции, может потребоваться уведомить об атаке соответствующие инстанции. Если у компании есть киберстраховка, обратитесь к страховой компании за дальнейшими инструкциями.

Уведомите клиентов

Скорее всего, нужно будет сообщить об атаке клиентам, особенно если были затронуты пользовательские данные. В зависимости от масштаба атаки и специфики вашего бизнеса, может потребоваться выпустить пресс-релиз. Честность и прозрачность при раскрытии информации об атаке помогут вашей компании сохранить доверие клиентов и общественности.

Выполните работу над ошибками

После атаки важно провести расследование и определить те улучшения систем и процессов, которые помогут минимизировать риск повторных атак. Воспользуйтесь инцидентом, чтобы повысить уровень кибербезопасности вашей компании.

Предотвращение кибератак

Как защитить организацию от киберпреступности? Расскажем об оптимальных подходах к организации защиты от кибератак.

Обучайте сотрудников навыкам кибербезопасностиНезависимо от специфики компании, сотрудники должны хорошо понимать важность кибербезопасности. Регулярно проводите актуальные тренинги по кибербезопасности, чтобы привить пользователям полезные привычки:

• проверять ссылки, прежде чем переходить по ним;
• проверять адреса электронной почты в полученных письмах;
• хорошо подумать, прежде чем отправлять конфиденциальную информацию. Если запрос кажется странным или подозрительным, скорее всего, здесь что-то не так. Прежде чем выполнить подобный запрос, свяжитесь с его автором по телефону.

Обучение пользователей навыкам кибербезопасности, повышение их осведомленности и формирование у них привычек кибергигиены сократит их риск стать жертвами атак с применением методов социальной инженерии.

Используйте шифрование и резервное копирование данных

Часто компании собирают и хранят персональную информацию, которая может попасть в руки киберпреступников и быть использована для кражи цифровых личностей и компрометации корпоративных данных. Наличие резервной копии позволит предотвратить продолжительные простои в работе, потерю данных и финансовый ущерб в случае кибератаки. Шифровальщики способны атаковать программное обеспечение, используемое для резервного копирования данных, что может привести к повреждению файлов в резервном хранилище, несмотря на все принятые меры кибербезопасности. Обеспечьте шифрование всей конфиденциальной информации, включая данные о клиентах и сотрудниках.

Проводите регулярные аудиты безопасности

Полностью устранить риск кибератак нельзя, однако вполне реально регулярно проверять надежность вашей киберзащиты. Пересмотр политик кибербезопасности и регулярная проверка программного обеспечения, систем и серверов поможет поддерживать кибербезопасность вашего бизнеса на должном уровне. Чтобы оценить готовность вашей компании к восстановлению данных после атаки, попробуйте загрузить файлы из резервного хранилища. Определив потенциальные уязвимости, необходимо разработать меры по их исправлению, а также проверить файлы в резервном хранилище на предмет повреждения. Неиспользуемое программное обеспечение следует удалить, чтобы киберпреступники не смогли воспользоваться им для хищения или уничтожения ваших данных.

Помните о риске внутренних утечек данных

Поскольку внутренние утечки данных случаются все чаще, необходимо сформировать комплексную политику использования данных с понятным набором правил. Настройте ограничения доступа к данным. Например, в случае с внешними подрядчиками, использующими личные устройства, необходимо оценить риск проникновения этих, вероятно, непроверенных устройств в вашу сеть и принять соответствующие меры.

Ограничьте права администраторов

Чтобы минимизировать риск взлома, нужно ограничить число сотрудников с правами администратора и внедрить систему, которая добавит уровень защиты между сотрудниками. Контроль доступа пользователей – ограничение прав обычных пользователей на выполнение программ за счет следования принципу наименьших привилегий, необходимых для выполнения рабочих задач. Риск для компании также может представлять самостоятельная установка сотрудниками на корпоративные устройства программного обеспечения, что может привести к компрометации систем. Таким образом, запрет на установку программ и ограничение доступа сотрудников к данным компании повышают безопасность сети.

Установите сетевой экран

Размещение сети за сетевым экраном – один из самых эффективных способов защиты от кибератак. Сетевой экран помогает остановить брутфорс-атаки на ваши сети и системы, прежде чем они смогут навредить им.

Регулярно обновляйте программное обеспечение, устройства и операционные системы

Зачастую в кибератаках используются уязвимости систем и программного обеспечения, которые не были вовремя обновлены. Хакеры эксплуатируют эти слабые места для получения доступа к вашей сети. Чтобы избежать этого, некоторые компании используют  решения для управления установкой исправлений, которые поддерживают актуальность и безопасность систем и ПО.

Внедрите оптимальную политику паролей

Важно, чтобы в компании соблюдалась рекомендуемая политика паролей. Внедрение разумной политики паролей поможет предотвратить использование слабых комбинаций и обеспечит блокирование учетных записей после определенного числа неверных попыток ввода пароля. Сотрудникам следует использовать надежные пароли, состоящие из букв, цифр и специальных символов. Также рекомендуется внедрить многофакторную аутентификацию для предотвращения несанкционированного доступа к устройствам. Некоторые компании вместо паролей используют парольные фразы для повышения уровни защиты систем. Важно использовать разные пароли или парольные фразы для разных ресурсов компании, а также не оставлять сеть Wi-Fi без защиты паролем.

Защитите рабочие места

Защита рабочих мест помогает оградить компьютеры, ноутбуки, мобильные телефоны и планшеты от кибератак и вредоносных угроз. ПО для защиты рабочих мест помогает защитить от киберугроз устройства, которые сотрудники используют при работе в корпоративной сети или в облаке. Подробнее о защите рабочих мест читайте по ссылке.

Часто задаваемые вопросы о кибератаках

Может ли сетевой экран предотвратить кибератаки?

Сетевые экраны и прокси-серверы способны блокировать небезопасные или ненужные службы, а также вести список известных нежелательных веб-сайтов. Для дополнительного уровня защиты можно оформить подписку на службу, которая предоставляет информацию о репутации веб-сайтов.

Почему важно предотвращать кибератаки?

Успешно проведенная кибератака способна привести к существенным потерям данных и краже защищаемой информации компании, а также данных сотрудников и клиентов. Используя цифровое оружие, например вредоносное ПО, ботнеты и атаки типа «отказ в обслуживании» (DDoS), хакеры могут нарушить работу компании, при этом вернуть зараженные системы в рабочее состояние будет очень сложно. 

Восстановление после кибератаки требует больших временных, финансовых и трудовых ресурсов; в том числе, может понадобиться сотрудничество с государственными инстанциями и установка новых решений для предотвращения будущих угроз. При утрате и хищении пользовательских данных или несвоевременном уведомлении пользователей о факте взлома компания рискует понести репутационный ущерб. Атака на ваш бизнес затрагивает и другие компании, которые используют в своей работе ваши товары и услуги.  

Как малый бизнес может предотвратить кибератаки?

Вот некоторые меры, которые помогут защитить вашу компанию от кибератак: обучение сотрудников основам кибербезопасности (риски и методы обезвреживания угроз); доведение до сведения сотрудников, что такое конфиденциальная информация; повышение безопасности оборудования; установка всех необходимых решений, включая сетевые экраны; ограничение доступа сотрудников и подрядчиков к IT-оборудованию, системам и данным.

Рекомендуемые продукты:

• Kaspersky Optimum Security
• Kaspersky Endpoint Detection and Response
• Kaspersky Security для систем хранения данных

Статьи по теме:

• Как сохранить конфиденциальность в сети, когда грань между домом и работой стирается
• Защита от программ-вымогателей: как сохранить данные в безопасности
• Что такое вредоносные программы с нулевым щелчком
• Что такое кража данных и как ее предотвратить