Фишинг и программы-вымогатели (шифровальщики, ransomware) — очень опасные и при этом тесно связанные киберугрозы. Сотрудники организаций, пользующиеся корпоративной почтой, мессенджерами, просматривающие веб-страницы в браузере, всегда могут столкнуться с ними. Что лучше: организовать защиту собственными силами или воспользоваться сервисной моделью?
- Введение
- Кто под прицелом?
- Разве не эффективнее самим купить и внедрить средства защиты информации?
- Какие преимущества даёт единое сервисное решение?
- Защита от фишинга и шифровальщиков: что в составе?
- Выводы
Введение
По данным центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар», фишинг используется в 75 % хакерских атак. Это говорит о том, что для злоумышленников он остаётся основным способом проникновения в ИТ-инфраструктуру организаций.
Цель фишинга — получить доступ к конфиденциальным данным пользователя (логину и паролю) или обманом заставить его загрузить вредоносный файл на своё устройство. Ссылка на поддельный сайт или заражённый вредоносной программой объект может содержаться в письме или личном сообщении в мессенджерах и соцсетях. Узнав учётные данные корпоративного пользователя или загрузив вредоносную программу на его компьютер, злоумышленник в итоге может получить доступ к инфраструктуре организации. Так, по статистике, почти 80 % успешных атак в госструктурах начинались именно с фишинга.
Низкий уровень осведомлённости о киберугрозах приводит к тому, что сотрудники регулярно попадаются на уловки хакеров. Однако и последние стали гораздо изобретательнее: они активно эксплуатируют злободневные темы, например пандемию и всё, что с ней связано, маскируют свои рассылки под письма от «айтишников» или отдела кадров компании.
Именно фишинг — один из основных способов рассылки так называемых шифровальщиков. Это программы, которые шифруют файлы на компьютере или сервере и блокируют работу. За ключи для расшифровки файлов злоумышленники требуют выкуп. Если выкуп не заплатить, то данные, скорее всего, будут навсегда потеряны, что обернётся как минимум простоем компании, убытками, ударом по репутации и другими проблемами. А если заплатить, то опять же нет никакой гарантии, что ключи шифрования пришлют.
Самые известные эпидемии шифровальщиков пришлись на 2017 год (WannaCry и Petya). Тогда жертвами хакеров стали компании по всему миру, в том числе в России. В ряде случаев это были корпорации с высоким уровнем информационной безопасности, в которых были внедрены передовые средства защиты. Несмотря на это, лидеры рынка столкнулись с огромными убытками из-за приостановки работы своих сервисов. Например, одна из российских сетей частных лабораторий в результате такой атаки около недели не могла полноценно обслуживать клиентов и выдавать результаты анализов. Угроза по-прежнему актуальна: в 2020 году эксперты «Ростелеком-Солар» зафиксировали тридцатипроцентный рост атак с участием шифровальщиков.
Кто под прицелом?
Фишинговые рассылки могут угрожать любой организации, в т. ч. и крупным предприятиям. Разница лишь в том, что в последнем случае атака, скорее всего, целевая и организована высокопрофессиональной хакерской группировкой. Под массовые же атаки менее квалифицированных злоумышленников может кто угодно. Особенно рискуют те организации, которые не могут себе позволить держать целый штат ИБ-специалистов, знающих, как обслуживать средства защиты информации, реагировать в случае атаки и минимизировать последствия инцидента. Например, очень часто с подобными проблемами сталкиваются региональные органы исполнительной власти, где обычно даже штат ИТ-специалистов невелик. При этом госорганизации активно переходят на электронный документооборот и очень много пользуются электронной почтой, ведь согласно федеральным законам они обязаны рассматривать все поступившие им обращения граждан и отвечать на них. И этим могут воспользоваться злоумышленники, рассылая под видом обращений фишинговые письма.
Стать жертвой фишинга и шифровальщиков с большой вероятностью также могут компании, которые занимаются интернет-торговлей и принимают заявки на поставки товаров с помощью электронной почты. Очевидно, что в пандемию этот сегмент ретейла стал развиваться особенно активно.
Разве не эффективнее самим купить и внедрить средства защиты информации?
Есть несколько неприятных аспектов, с которыми сталкивается любая организация, когда принимается решение о покупке и классическом внедрении средств защиты информации (СЗИ).
- Сложности с выбором вендора. На рынке — огромное количество СЗИ, производители которых заявляют, что защищают от фишинга и шифровальщиков. При этом разные средства могут защищать от разных векторов вредоносной активности: например, атак на уязвимости ПО или сетевого оборудования, а также атак с использованием социальной инженерии. И по каждому из направлений нужно определить возможные решения, провести их тестирование, чтобы сделать окончательный выбор.
- Использование решений нескольких вендоров. Скорее всего, система защиты будет собрана из продуктов разных производителей, что может вызвать проблемы с совместимостью, а также с управлением такой системой: разные консоли, разные инженеры, разные компетенции.
- Высокая стоимость СЗИ. При традиционном внедрении капитальные расходы на средства защиты могут быть огромными. Во-первых, лидирующие на рынке решения сами по себе очень дорогие; во-вторых, каждый вендор старается извлечь максимум прибыли и компания не получит скидку за «опт», создавая систему изо множества решений. В-третьих, вся эта конструкция требует регулярных затрат на настройку, обслуживание, обновление.
- Долгий и сложный процесс внедрения СЗИ. Учитывая, что сложно просчитать заранее, от каких векторов атак нужно будет защититься завтра, можно предположить, что средства защиты будут покупаться по мере необходимости и внедряться последовательно. Процесс интеграции и обеспечения совместимости всех решений в итоге может растянуться на годы.
- Недостаток квалифицированных сотрудников и ограниченный фонд оплаты труда. Выделять средства на обеспечение информационной безопасности, особенно после покупки дорогостоящих СЗИ, могут себе позволить немногие. Вдобавок на рынке труда существует конкуренция за таланты, и крупные корпорации, располагая значительными финансовыми ресурсами, как правило, переманивают сотрудников зарплатами. Также имеет место «миграция» квалифицированных специалистов в большие города. В таких условиях «на местах» возникает дефицит кадров, что для компаний (особенно региональных) и органов госвласти создаёт реальные проблемы с поддержанием информационной безопасности на должном уровне. В итоге бремя настройки и обслуживания всех внедрённых СЗИ в небольшой организации ложится на одного-двух безопасников, которые, как и все люди, могут болеть, ходить в отпуска, увольняться. Небольшой ИБ-службе может просто не хватить компетенций, чтобы досконально разобраться со сложными продуктами от разных вендоров. А чтобы все внедрённые средства защиты эффективно работали, нужен круглосуточный мониторинг, который сложно обеспечить без своего полноценного центра реагирования (SOC). Создать подобный на базе регионального предприятия или небольшой госорганизации практически невозможно. А подключение к достойному стороннему SOC доступно лишь крупным компаниям, которые выделяют солидный бюджет на информационную безопасность.
Какие преимущества даёт единое сервисное решение?
В отличие от набора продуктов, которые нужно как-то интегрировать в свою инфраструктуру, единое решение (бандл) уже взаимоувязано технологически и «заточено» под конкретную проблему. Посмотреть статус защиты и получить отчёты о событиях можно в едином личном кабинете.
Кроме того, сервисный подход предполагает, что клиенту не нужно внедрять сложные программные и аппаратные решения в свою инфраструктуру: достаточно просто подключить услугу и ежемесячно оплачивать её. Вместо капитальных расходов — только операционные.
Опции, которые входят в состав бандла «Защита от фишинга и шифровальщиков» от «Ростелекома», основаны на технологиях ведущих вендоров. При этом связность обеспечена заранее. Вместо того чтобы выбирать продукты ото множества поставщиков и думать, как обеспечить их совместимость, заказчик может сразу получить готовое решение.
Настройкой, обслуживанием и обновлением компонентов, которые входят в состав бандла, занимаются лучшие специалисты отрасли, используя в том числе экспертизу крупнейшего коммерческого центра противодействия кибератакам Solar JSOC компании «Ростелеком-Солар». Большое количество клиентов по всей территории страны и филиалы в разных часовых поясах позволяют сервис-провайдеру в режиме реального времени отслеживать активность злоумышленников, фиксировать массовые атаки, оперативно реагировать на них и при необходимости актуализировать настройки защиты.
Мультивендорность в этом случае идёт на пользу решению. Благодаря постоянному взаимодействию с мировыми лидерами рынка кибербезопасности «Ростелеком» использует в сервисах экосистемы Solar MSS базу индикаторов компрометации из разных источников. Это позволяет выявить активность злоумышленников на самых ранних стадиях и принять меры до того, как атака приведёт к неприятным последствиям.
Защита от фишинга и шифровальщиков: что в составе?
Решение для защиты от фишинга и шифровальщиков представлено в трёх вариантах — базовом, улучшенном и максимальном. Базовый предполагает защиту электронной почты с помощью соответствующего шлюза, на «продвинутом» уровне к этому добавляется защита от сетевых угроз. Максимальная безопасность — это также специальная платформа для обучения и проверки навыков киберграмотности сотрудников. Во всех трёх вариантах в состав решения входит защита от усовершенствованных угроз — виртуальная изолированная среда для проверки потенциально вредоносных файлов. Она позволяет обеспечить эшелонированную безопасность: даже если файл преодолеет фильтр электронной почты или систему борьбы с сетевыми угрозами, он будет разобран в изолированной среде и при необходимости заблокирован.
На базовом уровне клиент получит защиту только от одного вектора атак — через электронную почту. Улучшенный вариант обеспечивает дополнительное противодействие фишингу и шифровальщикам — например, в тех случаях, когда мошенническая ссылка приходит в личные сообщения в мессенджере, а не в письме, и пользователь сразу открывает её в браузере. Третий вариант бандла помогает усилить защиту с помощью повышения осведомлённости сотрудников организации в вопросах кибербезопасности. Пользователь может открыть фишинговую ссылку на личном устройстве, и это останется незамеченным для корпоративных средств защиты. Но если сотрудники научатся самостоятельно распознавать фишинг, у злоумышленника будет ещё меньше шансов достичь своих целей.
Выводы
Одно из важнейших преимуществ сервисного подхода к защите — скорость и простота подключения. В случае с базовым вариантом бандла кроме заполнения опросного листа и последующего заключения договора клиенту потребуется лишь поменять настройки почтового домена (стандартная операция, с которой справится даже ИТ-специалист средней квалификации). При подключении «продвинутого» и максимального вариантов понадобится несложная установка маршрутизатора (CPE), который предоставляет «Ростелеком». CPE необходим для того, чтобы по защищённому каналу связи перенаправить клиентский трафик в безопасную облачную платформу «Ростелекома», где он будет проверяться сервисом защиты от сетевых угроз.
Если в будущем клиенту понадобится защититься от других типов атак, проверить инфраструктуру на уязвимости или обеспечить шифрование каналов связи, он сможет в дополнение к бандлу «Защита от фишинга и шифровальщиков» быстро подключить необходимые сервисы экосистемы Solar MSS, продолжив формировать систему информационной безопасности по сервисной модели.