Количество кибератак будет расти и после пандемии. Что делать?

Пандемия обострила существовавшие ранее проблемы в инфраструктуре компаний. В результате активности злоумышленников количество инцидентов только за последние три месяца увеличилось в два-три раза. Большинство атак были направленными, то есть осуществленными с конкретной целью – получением доступа к внутренним сервисам с целью вывода денег или кражи корпоративной информации.

По данным компании «Валарм», от действий злоумышленников больше всего сейчас страдают предприятия электронной коммерции, банки и любой другой крупный бизнес, развивающий клиентские онлайн-приложения. Собственно, именно они и стали основной мишенью преступников. Цифровизация, которую все считали безусловным благом, превратилась в «узкое место» в тех организациях, где вопросам информационной безопасности уделялось недостаточное внимание. А переход в режим home office с параллельным экстренным созданием внутри периметра компаний сервисов для дистанционной работы усугубил эту ситуацию.

В результате на передовой в войне с кибератакующими оказались корпоративные порталы, внутренние сети, системы электронного документооборота, файловые хранилища, электронные торговые площадки. Иными словами, все те сервисы, на которые существенно выросла нагрузка во время коронавируса.

Британская lowcost авиакомпания EasyJet заявила, что хакеры получили доступ к электронной почте и сведениям о поездках около 9 миллионов клиентов. Преступники также смогли узнать данные кредитных карт более чем 2000 пассажиров, организовав атаку на информационные ресурсы перевозчика.  

Министерство по чрезвычайным ситуациям Китая (MoEM) и правительство провинции Ухань были атакованы неизвестными с помощью фишинговых инструментов. Цель злоумышленников состояла в сборе информации о коронавирусе - заболевании, о котором мало что было известно в то время - его происхождении и влиянии на население.

Fresenius, крупнейшая в Европе сеть частных больниц и основной поставщик продуктов и услуг для диализа, подверглась кибератаке. Компания заявила, что в результате инцидента были ограничены некоторые операции.

Хакеры разместили более 500 000 логинов Zoom для продажи в Dark Web. Широкое использование видеозвонков для личных и рабочих разговоров во время COVID-19 привлекло внимание преступников.

Чаще всего в коронавирусный период атакам подвергались веб-приложения и API – инструменты управления различными системами. Это не случайно. 90% всех сервисов, живущих в интернете, включая мобильные приложения, основаны на программных интерфейсах. И, как показала практика, этот седьмой уровень сетевой модели – уровень приложений – оказался в «красной» зоне риска. Это связано, как уже было сказано, с повышением количества интернет-операций и неготовностью систем к увеличению нагрузки. Но немаловажным фактором роста атак стало также большое количество ложных срабатываний. По данным Валарм, оно увеличилось в 100 раз на фоне кратного прироста корпоративных пользователей.

Единого рецепта нет. Каждая инфраструктура крупной компании индивидуальна, как и существующие внутри нее политики информационной безопасности. Поэтому любой проект, связанный с апгрейдом средств защиты, стоит начинать с хотя бы небольшого аудита. Он поможет достаточно быстро выявить бреши и неактуальные правила в области ИБ. Нередко сервис бесплатного автоматизированного сканирования веб-ресурсов и инфраструктуры на наличие уязвимостей поставщики услуг оказываются бесплатно.

Эффективность мер защиты зависит от комплексности работы. Все то, что выдается наружу, должно быть проинспектировано. В первую очередь, надо обращать внимание на VPN, управление мобильными устройствами сотрудников (в том числе личными – речь идет про концепцию Bring Your Own Device) и пересматривать политики безопасности, если они, конечно, нуждаются в обновлении. В этом случае необходимо изменить ролевые модели, настроить процессы для удаленной работы, определить тактику контроля.

Наконец, для эффективной защиты нужны соответствующие программные решения. Для безопасности веб-приложения применяются системы класса WAF (Web appliance firewall). Их цель – анализ поведенческих кибератак и защита от несанкционированного сбора информации, обнаружение инцидентов (в том числе ранее неизвестных угроз, т.н. 0-day уязвимостей) без ложных срабатываний и постоянный мониторинг. Такие системы работают, используя механизмы машинного обучения.     За счет накопления исторических данных WAF-сервисы «подстраиваются» под логику каждого веб-приложения, адаптивно меняя правила безопасности.

Используя подобные сервисы из облака, например, услугу WAF из Облака КРОК, компании могут начать работать с системой в максимально сжатые сроки – это достаточно актуально на фоне быстро разворачивающейся пандемической ситуации и лавинообразного роста атак. Кроме того, облачная модель защиты позволяет выстроить распределенную и отказоустойчивую инфраструктуру, без которой сложно поддерживать работу удаленному персоналу из разных часовых поясов.

***

Даже если предположить, что пандемия закончится в скором времени, ситуация с веб-атаками принципиально не поменяется. Мы видим тренд на приложения, завоевывающие периметр. Коронавирус ускорил его развитие. И те, компании, которые запустили в это нелегкое время новые онлайн-сервисы, не свернут их. Во-первых, потому что это уже вложенные инвестиции, которые организации вряд ли захотят заморозить. Во-вторых, заметна актуальность интернет-услуг и практически повсеместный рост их популярности. У пользователей сформировалась привычка покупать товары в интернет-магазинах или заказывать еду в онлайн-сервисах, и отказываться от удобства они не станут. Кроме того, многие компании начали пересматривать[KK1]  правила своей работы. Вполне вероятно, что в офисы вернутся далеко не все сотрудники. Все это в результате приведет к дальнейшему развитию веб-приложений и стабильно высокому уровню атак на них. Против них можно использовать уже сформированную методологию борьбы и существующие средства защиты, благо всего за один квартал 2020 года компании накопили достаточно опыта, чтобы противостоять преступникам.