14 сентября 2021 г.
Риски кибербезопасности определяются степенью подверженности взлому, вероятностью потери критичных активов или утечки конфиденциальной информации, а также репутационными потерями в результате кибератаки или инсайдерского взлома. Эти риски обычно оцениваются путем изучения акторов киберугрозы, типа уязвимости и последствий, связанных со взломом сети.
Уязвимости — это слабые места, дефекты или ошибки, которые могут быть использованы злоумышленниками с помощью методов социальной инженерии, DDoS-атак и длящихся сложно построенных прицельных атак (APT) для получения несанкционированного доступа. В зависимости от конкретной атаки, прямые, а также косвенные последствия могут затрагивать финансы, операционные аспекты, репутацию и соблюдение регулятивных требований в организации.
В рамках своей традиционной «Недели кибербезопасности» CRN/США побеседовал с представителями десяти вендоров о самых больших (и потенциально тяжелых) рисках, с которыми сталкиваются компании с начала пандемии COVID-19. Краткий обзор — ниже.
Ошибки конфигурирования в облаке
Во время пандемии компании спешно перешли к использованию Microsoft Teams и Office 365, зачастую не введя строгие политики совместной работы с данными, тем самым создав риск утечки конфиденциальных данных к третьей стороне, говорит Мэтт Радолек (Matt Radolec), руководитель группы реагирования на ИБ-инциденты фирмы Varonis. Также, у компаний меньше возможностей контроля SaaS-приложений и IaaS, где они слепо доверяют поставщику облачных услуг в обеспечении безопасности.
Создать бакет в хранилище AWS S3 так же просто, как щелкнуть выключателем, а это означает, что компании должны внедрить методологию непрерывного мониторинга для своих облачных приложений, говорит Радолек. Один бакет, некорректно созданный сотрудником в облаке AWS, может открыть лазейку ко всем данным о клиентах компании кому угодно в мире, сказал он.
Разрешения для облачных сервисов, таких как Box, задаются иначе, чем для локальных СХД, и настройки, установленные для привилегированного аккаунта администратора в Box, по умолчанию распространяются вплоть до рядовых сотрудников, говорит Радолек. Поставщики решений могут помочь своим клиентам ввести программы и методологии защиты данных, использующие лучшие практики конфигурирования в облаке, добавил он.
Поиск по ключевым словам при атаках вымогателей
При атаках с целью получения выкупа хакеры действуют так же, как грабители магазинных витрин, хватая всё, что ценно, а потом блокируют файлы жертвы и требуют выкуп за восстановление доступа, говорит Давид Дюфур (David Dufour), старший вице-президент по кибербезопасности и проектированию Webroot. При этом злоумышленники всё чаще прибегают к поиску по ключевым словам и другим методам обратной инженерии, чтобы заполучить желанные сокровища.
Первое, что ищут акторы атак, это договор киберстрахования жертвы, чтобы определить, какой размер выкупа можно запросить, говорит Дюфур. Узнав это, хакеры будут стремиться выкрасть сведения, защищенные законом HIPAA*, чтобы потребовать более крупный выкуп, сказал он.
Хакеры давно автоматизировали процесс сканирования устройств, серверов и других объектов в сети жертвы на предмет документов, содержащих определенные ключевые слова, говорит Дюфур. Файлы, содержащие данные с требуемым ключевым словом, выгружаются в специальный сборник, изучаются и анализируются вручную и, если окажутся ценными, шифруются, пояснил он.
Отсутствие сегментации для удаленных сотрудников
Быстрый переход к удаленной работе с началом пандемии COVID-19 нарушил архитектуру сетей компаний, так что объекты внутри корпоративной сети стали намного доступнее, чем полагается, и это привело к тому, что пользователи без полномочий могли получить доступ к основным базам данных, говорит Джонатан Куч (Jonathan Couch), старший вице-президент по стратегии и корпоративному развитию ThreatQuotient. Такая открытость архитектуры создала больше операционных и финансовых рисков для организаций, сказал он.
Стремясь сэкономить деньги, организации ввели одну точку VPN-доступа к своей сети вместо группировки внутренних систем по функциям, как это было до COVID-19, говорит Куч. Отсутствие внутренних «перегородок» привело к тому, что все сотрудники могли теперь получить доступ к данным кадрового или финансового отделов компании, сказал он.
Организациям следует тщательно изучить свои политики доступа и сегментации, чтобы сотрудники на удалёнке могли получать доступ лишь к тем данным, которые требуются им для работы, а не ко всей корпоративной сети, говорит Куч. Реализация принципов нулевого доверия может значительно повысить безопасность в условиях распределенного персонала, сказал он.
Уязвимость облачной инфраструктуры и SaaS
С началом пандемии пользователь стал более частым вектором атак, чем устройства, поэтому компании должны анализировать риски в контексте идентификации пользователя и устройства, а не одних лишь устройств, говорит Тим Эрлин (Tim Erlin), вице-президент по стратегии Tripwire. В свете этого необходимо анализировать риск, связанный с каждым запросом на подключение, с учетом критичности ресурса, с которым устанавливается соединение, сказал он.
На текущий момент большинство компаний обеспечивают защиту своих облачных рабочих нагрузок, однако облачная инфраструктура, конфигурации и SaaS всё еще выпадают из их поля зрения, говорит Эрлин. Компании не понимают риски, связанные с ошибками конфигурирования облачных или SaaS-аккаунтов, и не имеют достаточно ресурсов, знаний и инструментов для надлежащей защиты облачной инфраструктуры, сказал он.
Из-за отсутствия инструментария киберзащиты, доступного организациям, хакеры всё чаще используют в своих эксплойтах ошибки конфигурирования контейнеров и облака, говорит Эрлин. В ответ компании переходят от точечных мер контроля уязвимостей и вредоносного ПО к более всеобъемлющим средствам оценки рисков в масштабах всей организации.
Атаки через членов семьи
Многие из вредоносных программ, которые раньше атаковали офисную среду, теперь всё чаще проникают в домашние сети, так как сотрудники работают сейчас из дома, говорит директор по технологии BitSight Стивен Бойер (Stephen Boyer). Такая ситуация, сложившаяся во время пандемии, намного упростила взлом для хакеров, поскольку уровень защищенности домашних сетей далек от желаемого.
Способность защититься и тем более реагировать на атаку в домашней сети близка к нулю, говорит Бойер, и это создало большой соблазн атак через членов семьи сотрудника, особенно руководителя. Компьютеры в домашней сети, как правило, соединены на полном доверии и не находятся за брандмауэром, так что злоумышленник может легко подключиться к локальным службам и идти вбок, взломав учетную запись электронной почты жены сотрудника, говорит Бойер.
Это позволяет проводить определенные типы атак, возможные только внутри домашней сети, но не удаленно через интернет-соединение, сказал Бойер. Отсутствие средств обнаружения взлома в домашних сетях привело к значительному росту частоты и успешности атак: количество требований выкупа, о которых компании сообщают своим страховщикам, подскочило на 450%, сказал он.
Атаки на сторонних поставщиков услуг
Компании стали использовать больше средств ИТ, от видеоконференцсвязи до интерактивной доски и совместного доступа к файлам, чтобы обеспечить удаленную работу сотрудников и устранить проблемы разрозненности, которых раньше не было, когда все сидели в офисе, говорит Грег Поллок (Greg Pollock), вице-президент по продукции UpGuard. Естественным следствием этой цифровой трансформации стало большее использование поставщиков услуг и стороннего ПО, сказал он.
Но каждый новый вендор в цепочке снабжения организации привносит с собой дополнительный риск, говорит Поллок. Всё больше случаев, когда взлом одной компании, такой как SolarWinds, Accellion или Kaseya, затрагивает десятки, сотни и даже тысячи других компаний или государственных структур по всему миру, сказал он.
Взлом такого поставщика приводит не только к потере доступности той или иной услуги, которую он предоставляет, но и, с большой вероятностью, к потере конфиденциальности критичной информации, которая была ему предоставлена, говорит Поллок. Группы хакеров-вымогателей ищут самые болевые точки, чтобы заставить жертву платить, совершая атаки, более разрушительные для их клиентов и деловых партнеров, сказал он.
Важность сканирования уязвимостей извне
Организациям нужно самим проводить трезвую оценку каждой уязвимости, риска и потенциальной слабины в своей сети, которые могут быть использованы хакерами в ходе кибератаки, говорит Ник Бьязини (Nick Biasini), руководитель отдела по работе с клиентами Cisco Talos. От теневой загрузки и покупки доступа в сеть до активного использования эксплойтов — хакеры применяют самые разные приемы, чтобы добраться до желанных систем жертвы.
Организациям нужно проводить сканирование уязвимостей извне и изнутри своей сети, чтобы лучше понять, что именно может видеть злоумышленник, начиная атаку, и сможет ли он взломать их системы, говорит Бьязини. Компаниям следует выявить ключевые серверы или компоненты ИТ, которые требуют защиты, и устранить любые слабые места, приняв соответствующие меры.
Организациям нужно начать с устранения уязвимостей внутри собственных систем, говорит Бьязини, и, по мере укрепления своей защищенности, начать настраивать свои серверы извне, проводя внешнее сканирование, чтобы лучше понять, как выглядит их организация для потенциального взломщика, сказал он.
Сокровища данных
Самый критически важный актив любой организации это данные о клиентах, а также внутренние корпоративные данные и данные интеллектуальной собственности, то есть главные бизнес-риски обычно связаны именно с данными, говорит Майкл Маджио (Michael Maggio), исполнительный вице-президент по продукции Reciprocity. Поэтому взломщики всё больше нацелены на то, чтобы продать украденные данные самой же организации, а не кому-то еще, поскольку этот путь приносит отдачу быстрее.
Пострадавшим следует прежде всего понять, какие данные могли быть украдены и под какие законы, стандарты и требования (HIPAA, PCI** или SOC 2***) это может подпадать, говорит Маджио. Исходя из этого, компаниям нужно выяснить, какие у них имеются средства контроля для защиты всех этих данных, а также каков может быть финансовый ущерб в случае кражи, например данных о клиентах, сказал он.
Компаниям нужно оценить свой профиль киберрисков исходя из того, какие бизнес-активы и процессы потенциально подвержены атакам, говорит Маджио, и затем им нужно найти и внедрить ПО, инструментарий и методологии безопасности, контролирующие доступ к этим данным (например, брандмауэр или шифрование), чтобы лучше их защитить, сказал он.
Прицел на компании с киберстрахованием
Небольшие компании, которые не были особо привлекательны для вымогателей, становятся теперь более вероятной мишенью атак ввиду всё более широкого распространения киберстрахования среди СМБ, говорит Роб Катальдо (Rob Cataldo), управляющий директор Kaspersky North America. Киберпреступники проводят специальную разведку, ища договор киберстрахования в ИТ-среде организации, прежде чем затевать атаку, сказал он.
Организация, имеющая такой договор, с большей вероятностью заплатит выкуп, так как его сумма часто меньше прогнозируемой стоимости восстановления без ключа дешифрования, говорит Катальдо. СМБ-компаниям нужно инвестировать в разработку стратегии снижения рисков, которая конкретизирует, как компания планирует предотвращать, обнаруживать, снижать и принимать определенные риски, сказал он.
Поскольку киберстрахование выходит за рамки крупных организаций в сегмент мелкого и среднего бизнеса, будет интересно посмотреть, какие правила и требования начнут вводить страховщики в процесс андеррайтинга, говорит Катальдо. Страховые компании совсем не заинтересованы иметь клиентов с чрезмерно высокими рисками, так как с большой вероятностью именно они придут к ним с заявлением о покрытии немалого ущерба, сказал Катальдо.
Вымогательство с угрозой раскрытия
На сегодняшний день цель вымогателей — не столько блокировать устройства потребителей, сколько угрожать раскрытием их конфиденциальной личной информации, говорит Даррен Шу (Darren Shou), директор по технологии NortonLifeLock. Взломщики угрожают нанести вред репутации, опубликовав их электронную почту, частные разговоры или очень личные селфи, сделанные для друзей или коллег, говорит он.
Традиционно взломщики угрожали навсегда заблокировать файлы, проводя атаки с использованием вирусов-шифровальщиков, говорит Шу, но это перестает работать, так как многие теперь могут восстановить свои файлы из резервной копии в облаке. В силу ряда причин гораздо важнее для людей становится сейчас приватность, поэтому угроза публичного раскрытия частной информации стала более действенным рычагом вымогательства, сказал он.
Поток платежей, наблюдаемый в отрасли в связи с атаками вымогателей, по сути есть функция того, насколько пользователи дорожат своей репутацией, говорит Шу. С конца 2020 по начало 2021 года количество таких атак выросло на 35%, а доля полученных вымогателями доходов увеличилась более чем на 300% в годовом исчислении, сообщил он.
* Закон о правилах передачи и ответственности за информацию медицинского страхования в США.
** Стандарты безопасности данных отрасли платежных карточек.
*** Отчет аудита процедур контроля у поставщиков ИТ-услуг.
© 2021. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Майкл Новинсон, CRN/США