Все больше компаний по всему миру становятся жертвами программ-вымогателей. В результате атак критические бизнес-процессы, включая работу с электронной почтой и выплату зарплаты, останавливаются. А компании, которые уже стали жертвами злоумышленников, вынуждены переходить на бумажный документооборот, т. к. они не могут получить доступ к своим электронным данным и системам.
Тем, кто еще не столкнулся с подобными проблемами, будет полезно ознакомиться с историей возникновения программ-вымогателей. В обычном мире это можно сравнить с похищением людей, а на уровне данных и доступа к ним это сопоставимо с цифровым вымогательством.
Хакеры успешно шантажируют пользователей, учитывая наличие эффективных каналов перевода средств (Bitcoin) и множество направлений для атак (фишинговые электронные письма, зараженные вирусами файлы и целые веб-страницы). Эта ситуация усугубляется еще и тем, что злоумышленники практически ничем не рискуют, когда преобразуют украденные активы в деньги, т. к. данные не нужно осторожно выводить и продавать каким-либо преступным организациям. Вместо этого злоумышленники занимаются вымогательством денег у своих жертв за возможность получить обратно доступ к своим данным и сетям.
Жертвы вымогателей могут оперативно восстановить данные самостоятельно или с помощью интерактивной переписки. Они получают пошаговые инструкции, как передать деньги злоумышленникам. Для того чтобы пользователи были более сговорчивыми, хакеры «включают» таймер обратного отсчета с предупреждением о том, что через 2-3 дня данные будут утрачены окончательно. Как правило, их конфиденциальность не нарушается.
Тем не менее встречаются случаи, когда данные удерживаются для получения выкупа, и жертвы подвергаются шантажу с угрозой публикации украденной информации в открытых источниках, если требования с выплатой не будут выполнены. Как минимум, возникает нарушение в работе учреждения, когда компания отключает свои корпоративные системы для предотвращения дальнейшего распространения угрозы. Восстановление доступа к данным может стоить сотни долларов для обычных пользователей и десятки тысяч для компаний.
Программы-вымогатели, включая Locky, KeRanger, Cryptolocker, CryptoWall и TeslaCrypt, осуществляют поиск по локальным и сетевым накопителям и шифруют важные данные. Злоумышленники, в свою очередь, требуют оплату за получение ключа, который позволит расшифровать информацию и восстановить доступ к ней. Программы-вымогатели беспокоили обычных пользователей на протяжении многих лет, но за последний год злоумышленники направили свои атаки на компании из сферы здравоохранения, банки и финансовые учреждения.
«Я хотел бы поделиться своими идеями об использовании технологии виртуализации в качестве нетрадиционного решения для борьбы с такими угрозами, — рассказывает Сергей Халяпин, главный инженер представительства Citrix в России и странах СНГ. Традиционный подход, который во многих компаниях не принес положительных результатов, включает в себя предупреждения и правила поведения для конечных пользователей:
- Необходимо соблюдать меры безопасности и быть осторожными в отношении фишинга и других видов атак злоумышленников.
- Нельзя нажимать на ссылки из неизвестных источников.
- Не устанавливать программное обеспечение или обновления с неизвестных сайтов.
- Обязательно использовать антивирусное программное обеспечение.
- Необходимо регулярно выполнять резервное копирование данных (этот способ может не работать для транзакционных баз данных).
- Создать запас средств на возврат данных, если перечисленные выше меры не смогли защитить компанию.
Хотя этот традиционный подход имеет важное значение для стратегии глубокой обороны, он не включает ряд очень важных методик и решений для эффективной борьбы со злоумышленниками:
- Изолирование (sandboxing) почтовых программ и браузеров.
- Усиление защиты ОС и важных приложений.
- Использование одноразовых сеансов для выхода в интернет и перехода по ссылкам.
- Настройка системы обеспечения безопасности для того, чтобы она была ориентирована на приложения и имела контекстный характер.
- Выключение активного контента по умолчанию и включение его только по мере необходимости для каждого конкретного приложения.
- Внесение в белый список только допустимых доменов и сервисов, необходимых для каждого конкретного приложения.
Конечно, это не полный перечень мер, но и их будет достаточно для начала».
«Среди высокоэффективных методов борьбы с программами-вымогателями хотелось бы выделить решения по созданию замкнутой программной среды, — считает Сергей Слепков, ведущий инженер-консультант ООО «С-Терра СиЭсПи». При широком и повсеместном использовании терминального доступа, в том числе для удаленных и мобильных сотрудников, замкнутая программная среда может быть решением всех возможных проблем, связанных с фишингом, троянами и вымогателями. А если все необходимые информационные системы, ресурсы и программное обеспечение находятся в облаке, то и нет необходимости что-либо локально сохранять или устанавливать. Достаточно лишь иметь клиентское ПО, которое показывает картинку в терминальном режиме. И тут архитектура замкнутой программной среды особенно ценна».
Почему эти базовые методики не используются повсеместно компаниями для защиты своих данных и сотрудников? Их необходимо применять на каждом конечном устройстве, а это не так просто сделать. Благодаря технологии виртуализации можно реализовать следующий подход для борьбы с программами-вымогателями:
- Внедрение виртуализированных, изолированных и защищенных почтовых программ.
Можно использовать традиционную почтовую программу, например Microsoft Outlook, или веб-версии, включая Gmail и Microsoft Office 365. Их внедрение гарантирует, что все необходимые настройки безопасности активированы и являются согласованными для всех пользователей, а также индивидуальными для сценариев использования.
Антивирус, технология DLP (data leakage protection), решение для создания белых списков и других технологий реализованы на уровне почтовой программы и не зависят от конечного устройства. Более того, при использовании технологии виртуализации на конечное устройство отправляются только пиксели, отображающие почтовую программу, а не сообщения, вложения или другие данные.
- Внедрение виртуализированных, изолированных и защищенных браузеров, которые являются индивидуальными для приложений и сценариев использования.
Можно установить несколько браузеров, включая Internet Explorer и Chrome, использовать несколько различных версий, необходимых для конкретных приложений. За счет настройки конфигурации для поддержки каждого конкретного приложения и сценария использования можно отключить ненужный активный контент и другие функциональные возможности. В виртуализированных браузерах важные конфиденциальные данные также не хранятся на конечных устройствах.
- Использование всех веб-ресурсов, включая ссылки, почту и приложения для социальных сетей, переносится в изолированный одноразовый виртуальный браузер.
Браузер не будет иметь доступа к другим приложениям, конечным устройствам, общим файловым ресурсам и другим ресурсам конфиденциальной информации. Функции проверки контента, создания белых списков и другие меры обеспечения безопасности можно реализовать в изолированном браузере.
- Проверки конечных устройств, для которых требуется антивирус, межсетевой защитный экран, патчи и другие меры обеспечения безопасности, доступны на конечных устройствах на базе Windows и macOS.
Межсетевое экранирование USB настроено таким образом, чтобы разрешить использование (или заблокировать) USB-ключей и других периферийных устройств для каждого конкретного приложения. Если необходимо уменьшить поверхность атаки на конечных устройствах, можно использовать тонкие клиенты, клиенты, не требующие ПО, системы Chromebook и другие защищенные конечные устройства, которые хорошо работают с виртуальными приложениями и десктопами.
Хотя ни одна стратегия не дает стопроцентную гарантию защищенности, использование системы безопасности на базе технологии виртуализации повышает ваши шансы на успех в борьбе со злоумышленниками.