Как организовать защиту компании от программ-шифровальщиков
Главная » Практика » Способы
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+
21 Января 2025 - 12:55

Как организовать защиту компании от программ-шифровальщиков

Аватар пользователя Григорий Филатов
Григорий Филатов
Руководитель отдела информационной безопасности Linx Cloud
Вверх
Проголосовало: 2
...
Как организовать защиту компании от программ-шифровальщиков

Ежедневно сотни компаний в мире подвергаются атакам с использованием программ-вымогателей. Если атака удаётся, бизнес-процессы останавливаются на несколько дней и даже недель, а потери могут исчисляться миллионами в любой валюте. Как организовать защиту компании от шифровальщиков?

 

 

 

 

 

 

  1. Введение
  2. Типовой сценарий атаки программы-вымогателя
  3. 5 шагов для защиты компании от шифровальщиков
    1. 3.1. Шаг 1. Формируем команду и распределяем роли
    2. 3.2. Шаг 2. Проведение регулярных аудитов
    3. 3.3. Шаг 3. Моделирование угроз и оценка рисков
    4. 3.4. Шаг 4. Анализ эффективности принятых мер защиты
    5. 3.5. Шаг 5. Обработка рисков
  4. Защита на этапе архитектуры: практические рекомендации
  5. Технические меры: практические рекомендации
  6. Организационные меры: практические рекомендации
  7. Выводы

Введение

По данным Positive Technology за II квартал 2024 года, количество атак на компании в странах СНГ увеличилось в 2,6 раза в сравнении с прошлогодними показателями. На организации в России более 50% атак совершено с помощью вредоносных программ, каждая четвёртая атака — с использованием программ-шифровальщиков.

Такие несанкционированные действия становятся всё более частыми и изощрёнными, причиняя значительный ущерб как крупным корпорациям, так и небольшим предприятиям и частным лицам. Как защититься от этой киберугрозы, нам рассказал Григорий Филатов, руководитель отдела информационной безопасности Linx Cloud.

Типовой сценарий атаки программы-вымогателя

Чтобы выстроить надёжную защиту ИТ-периметра компании, важно понимать, как действуют злоумышленники при атаке с помощью шифровальщиков.

В базе данных MITRE ATT&CK есть информация о тактиках, техниках и наиболее подверженных атакам уязвимостях. Для рассмотрения типовых кейсов атак шифровальщиков рассмотрим представленный там сценарий:

  1. Разведка. Атакующие изучают публично доступные сервисы и данные об организации, в том числе информацию из утечек.
  2. Подготовка. Хакеры подбирают инструменты, создают инфраструктуру для фишинговой атаки.
  3. Первичный доступ. Периметр компании взламывается с помощью социальной инженерии или технических уязвимостей.
  4. Закрепление в системе. Некоторые хакеры проводят атаки «с наскока», но большинство предпочитают изучить  систему для поиска наиболее значимых элементов инфраструктуры.
  5. Повышение привилегий. Как правило, начальных привилегий недостаточно для того, чтобы получить доступ к базам данных или бэкапам.
  6. Выполнение целевого действия. Злоумышленники запускают процесс шифрования. Опытные группировки также удаляют либо шифруют бэкапы, выкачивают базу данных как дополнительный аргумент при последующем вымогательстве.

За последние несколько лет изменились условия осуществления преступных действий. Во-первых, ухудшилась геополитическая обстановка, и появился политический контекст. Во-вторых, заметно выросли возможности и ресурсы злоумышленников. Так, в 2023 году скорость взлома крупных компаний увеличилась на 30 %. Изменился характер атак: они стали сложнее и всё чаще проводятся с целью добиться выплат от жертвы или нарушить деятельность организации.

Растёт количество успешных атак путём эксплуатации уязвимостей нулевого дня (0-day уязвимости — те, в отношении которых пока не разработаны защитные механизмы и не выпущены обновления безопасности).

Невольными пособниками хакеров оказываются вендоры, которые могут отозвать лицензию и убрать доступ к обновлениям. Это приводит к нарушению штатного функционирования систем защиты или самой информационной системы.

5 шагов для защиты компании от шифровальщиков

Злоумышленники, которые атакуют компании с использованием программ-шифровальщиков, используют все векторы атаки — от социальной инженерии до эксплуатации 0-day уязвимостей. Поэтому система защиты должна быть комплексной и эшелонированной.

Шаг 1. Формируем команду и распределяем роли

Большинство компаний столкнулись с дефицитом специалистов в сфере кибербезопасности, особенно если речь идёт о профессионалах уровня middle+. Поэтому есть смысл дополнительно обучить ИБ сотрудников инфраструктурных команд и делегировать им соответствующую роль. Это могут быть как разработчики, так и системные администраторы. Важно, чтобы они были осведомлены об имеющейся угрозе и тех методах, которыми хакеры пользуются для доставки программ-вымогателей в инфраструктуру.

Шаг 2. Проведение регулярных аудитов

Во время аудита выявляют несанкционированные, неактуальные сетевые соединения, устаревшие сервисы, не отключённые учётные записи и т. д.

Основные задачи аудита:

  1. Инвентаризация активов компании для создания и актуализации карты сети, взаимодействия между сервисами и пользователями.
  2. Определение поверхности атаки. Предстоит понять, какие сервисы «торчат» в открытую сеть, могут быть просканированы и оказаться объектами неправомерной эксплуатации, стать точками входа для социальной инженерии (например, почта).

Формат аудита может отличаться на разных уровнях зрелости компании. На начальных этапах это может быть внутренний аудит, затем пентесты или redteam-проекты.

Шаг 3. Моделирование угроз и оценка рисков

После того как собрали всю необходимую информацию об активах, можно приступать к идентификации источников угроз и составлению модели нарушителя. Важно понимать, что она может меняться в зависимости от субъективных факторов, таких как рост компании, и от объективных, например от геополитической обстановки в регионе.

Идентификация уязвимостей предполагает не только обнаружение всех уязвимостей, но и их приоритизацию для последующего устранения. Принципиальные уязвимости сервисов, важных для непрерывного функционирования бизнеса, устраняются в первую очередь, уязвимости с низким импактом допустимо ликвидировать в более поздние сроки.

Шаг 4. Анализ эффективности принятых мер защиты

Как правило, в компании уже есть некоторые средства защиты, архитектурные особенности, предназначенные для обеспечения безопасности, и другие. При их оценке нужно ответить на два ключевых вопроса:

  1. Какой ущерб понесёт компания, если риск будет реализован?
  2. Достаточно ли принятых мер ИБ для нивелирования конкретного риска?

В зависимости от ответов на эти вопросы и результатов анализа организация принимает решение о целесообразности дополнительных инвестиций в защиту от тех или иных рисков ИБ, векторов атаки.

Шаг 5. Обработка рисков

Отдел ИБ приступает к митигации рисков — разрабатывает план и выполняет действия, которые должны усложнить цепочку атаки или сделать её невозможной. Сначала рассматривают наиболее значимые риски, затем переходят к менее опасным. Совокупность мер варьирует в разных компаниях и содержит различные составляющие — от выстраивания процесса работы с патчами безопасности до внедрения новых средств защиты информации и мониторинга. 

Хорошей практикой является применение общепринятых стандартов и методик по защите или администрированию информационных систем. В части моделирования угроз и оценки рисков можно взять за основу методику оценки угроз ФСТЭК или такие стандарты оценки рисков, как NIST 830 или ISO 27005.

Защита на этапе архитектуры: практические рекомендации

Ещё на этапе проектирования ИТ-инфраструктуры компании нужно принять ряд мер, которые существенно затруднят атаки с использованием программ-вымогателей. 

Распределение инфраструктуры по разным площадкам позволит снизить риск выхода из строя всей системы. Раздельное хранение бэкапов обеспечит их наличие и работоспособность в случае взлома. Сегментирование инфраструктуры поможет снизить влияние злоумышленников в скомпрометированной системе. 

Эшелонированная защита ограничит действия злоумышленников, даже если им удастся преодолеть периметровые средства защиты: Web Application Firewall, Next Generation Firewall.

Для проверки ПО и обновлений полезны изолированные среды (виртуализация/песочница). Для хранения образов контейнера стоит использовать свой доверенный Registry.

Технические меры: практические рекомендации

  1. Безопасная публикация сервисов с использованием Next Generation Firewall, IPS и Web Application Firewall (в случае с веб-приложением).
  2. Безопасный удалённый доступ с установкой сильной криптографии VPN и двухфакторной аутентификации.
  3. Управление уязвимостями ПО (запуск сканеров уязвимостей).
  4. Управление уязвимостями в исходном коде с помощью практик SAST, DAST и SCA.
  5. Управление уязвимостями в образах контейнеров, для чего можно воспользоваться утилитами Trivy, Clair.
  6. Усиление защиты систем (СIS Benchmark) и использование сканеров (kubench, lynis, модули Redcheck, Wazuh) с целью затруднить повышение привилегий и распространение в системе.
  7. Контроль административных прав пользователей: если пользователь скачает вирус, запустить его не удастся.
  8. Разделение ролей и полномочий в инфраструктуре, чтобы ограничить ущерб от компрометации одной учётной записи.
  9. Подписание образов контейнеров.
  10. Применение средств мониторинга и защиты информации (антивирус, SIEM).

Организационные меры: практические рекомендации

Регулярные аудиты позволяют выявить несанкционированные изменения, неактуальные сетевые подключения, устаревшее программное обеспечение, лишние учётные записи, которые не были вовремя отключены.

Оценка рисков помогает своевременно реагировать на изменения контекста ИБ, формировать системный и комплексный подход к защите инфраструктуры, ранжировать угрозы и приоритизировать меры по борьбе с ними.

Изменения и обновления ПО следует проводить так, чтобы в результате этих действий не появились новые уязвимости. Кроме этого, важно управлять end-of-life системами, поскольку производитель может прекратить поддержку и выпуск обновлений безопасности.

Ещё один действенный способ профилактики проникновения вируса-шифровальщика — регулярное ознакомление сотрудников с правилами ИБ и соблюдение последних, чтобы интернет-серфинг и использование электронной почты не создавали дополнительных угроз.

Выводы

Атаки с использованием программ-шифровальщиков становятся всё более массовыми и значимыми, тем не менее пути доставки вредоносных программ в периметр принципиально не изменились.

Важно уделять внимание актуализации инфраструктуры с точки зрения ИБ, внедрять безопасную разработку, если устанавливаются самописные решения, и самое главное — следить за наличием и изолированностью бэкапа. Это позволит сделать инфраструктуру компании недоступной для большинства хакеров, которые используют программы-шифровальщики для атак на бизнес.

Полезные ссылки: 
> Три четверти кибератак в пределах СНГ нацелены на Россию
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.