Спустя два года после начала пандемии существенная часть компаний продолжает работу в удаленном или гибридном формате. Ставшая популярной концепция BYOD (Bring Your Own Device), согласно которой персонал использует собственные устройства для доступа к корпоративной сети, по-прежнему создает серьезные риски для информационной безопасности предприятий. Это расширяет возможный ландшафт киберугроз и увеличивает вероятность успеха атак, число которых неуклонно растет.
Автор: Дмитрий Крайненко, руководитель направления информационной безопасности Fortis
По данным Check Point Software Technologies, за последние полгода организации в России атаковали в среднем 1461 раз в неделю, что на 33% больше по сравнению с аналогичным периодом прошлого года.
Кибератаки постоянно совершенствуются, становятся все более изощренными и продуманными. Сегодня для надежной защиты конечных устройств недостаточно традиционного антивируса: он заблокирует лишь атаки, для которых существуют сигнатуры. Давайте посмотрим, какие киберугрозы сейчас наиболее актуальны для бизнеса и какие современные технологии позволяют от них защититься.
Для обеспечения надежной защиты корпоративной ИТ-инфраструктуры необходимо знать угрозы, которые представляют наибольшую опасность.
Данные Check Point Software Technologies свидетельствуют о том, что в последние полгода чаще всего российские организации подвергались атакам ботнетов – 16,3% из всех атакованных компаний. При этом среднемировой показатель угрозы ботнетов составляет лишь 5,3%. Чаще всего ботнеты используют для DDoS-атак, призванных выводить из строя корпоративные ресурсы.
В последнее время было много громких случаев, связанных с DDoS-атаками, например в мае СберБанк успешно отразил [1] крупнейшую DDoS-атаку в своей истории. В тройку самых актуальных киберугроз для российских компаний также входят криптомайнеры, атакам которых подверглась 7,1% отечественных организаций, и инфостилеры, затронувшие 6% компаний.
Рассматривая конкретные вредоносные программы, которые представляют наибольшую опасность для бизнеса в России, можно выделить три основные угрозы.
SnakeKeylogger – программа-шпион для ПК, которая считывает нажатие клавиш на клавиатуре и передает собранные данные злоумышленникам. Заражение SnakeKeylogger представляет большую опасность для конфиденциальности пользователей, поскольку может собирать практически все виды личных данных. Этот кейлогер очень тяжело обнаружить и еще труднее удалить с устройств. В мае 2022 г. SnakeKeylogger затронула 6% российских компаний.
Pony – это вредоносное ПО, предназначенное в первую очередь для кражи учетных данных пользователей ОС Windows и отправки их на сервер злоумышленников. Pony позволяет отслеживать активность системы, загружать и устанавливать дополнительные вредоносные программы и даже распространяться по сети, заражая другие устройства. Иными словами, Pony функционирует как ботнет, а из-за своей децентрализованной структуры эта программа может распространяться сразу по нескольким векторам. В мае она была обнаружена и обезврежена в 5% корпоративных сетей российских организаций.
Столько же отечественных компаний столкнулись еще с одной угрозой – AgentTesla. Это продвинутый троян удаленного доступа (RAT) для кражи учетных данных. Он может собирать данные с клавиатуры жертвы и из буфера обмена, делать снимки экрана и извлекать учетные данные, которые пользователь вводит в различные программы, установленные на компьютере, включая Google Chrome, Mozilla Firefox и Microsoft Outlook. AgentTesla без каких-либо ограничений продается в даркнете, и любой человек, например уволенный сотрудник, может купить пользовательскую лицензию для проведения атак.
EDR (Endpoint Detection & Response) – это класс решений для обнаружения и изучения вредоносной активности на конечных устройствах. Они разработаны специально для того, чтобы вывести безопасность организации за рамки реактивной модели киберзащиты, основанной на обнаружении угроз. EDR-решения предоставляют аналитикам безопасности инструменты, необходимые им для упреждающего выявления угроз и защиты от них. Давайте рассмотрим главные преимущества EDR.
Для эффективной защиты конечных устройств необходимо также выстроить многоуровневую систему безопасности. Она создается на базе ИБ-решений, которые задействуют несколько продвинутых технологий на разных этапах атаки. Например, локальный межсетевой экран, технологии шифрования данных, использование искусственного интеллекта для анализа трафика из различных приложений и управления политиками безопасности позволяют обнаружить и предотвратить кибератаку до ее запуска. Если атака состоялась, запускаются технологии защиты от фишинга и блокировки потенциально вредоносных сайтов (URL Filtering), которые ограничивают доступ к вредоносным сайтам и реагируют на известные угрозы. Для борьбы с уязвимостями нулевого дня существуют технологии, позволяющие мгновенно конвертировать потенциально вредоносные файлы в безопасную форму или изолировать их в безопасной песочнице в виртуальной среде, чтобы они не попали в сеть. За автоматической реакцией на киберугрозу должна последовать аналитическая работа: ИБ-отделу нужно изучить ее схему, выявить слабое звено в ИТ-инфраструктуре и восстановить поврежденные файлы. В этом помогут технологии анализа поведения системы, фиксирующие подозрительную активность и сохраняющие данные на жестком диске.
Конечные устройства нередко оказываются наиболее уязвимым звеном корпоративной безопасности. Отсутствие надежной защиты может обернуться кражей конфиденциальных данных, нарушением функционирования ИТ-инфраструктуры и остановкой бизнес-процессов. Для защиты корпоративных сетей и конфиденциальной информации компаниям необходимо пересмотреть свой подход к обеспечению кибербезопасности конечных устройств и использовать новейшие технологии защиты.