Эксперты по информационной безопасности фиксируют рост количества кибератак, отмечая при этом, что хакерские техники и инструменты становятся все сложнее. Под удар попадают не только крупные компании и органы власти.

По данным «Ростелекома», почти 40 процентов организаций среднего бизнеса сталкивались с киберинцидентами в 2020 году. И только 16 процентов из них способны были эффективно противостоять действиям злоумышленников. Число кибератак растет и в регионах, и в Москве. Чаще всего они связаны с распространением вредоносного программного обеспечения, в том числе, вирусов-шифровальщиков и использованием веб-уязвимостей. Доля каждого из этих типов инцидентов составляет 30-40 процентов — в зависимости от региона.

Почему IT-инфраструктура уязвима

Уязвимости — это слабые места, ошибки в ИТ-инфраструктуре организации, которые используются злоумышленниками для проникновения в корпоративную сеть. Многие такие ошибки доступны даже хакерам-любителям, отмечают эксперты «Ростелекома». В качестве примера можно привести уязвимость EternalBlue, которая эксплуатирует ошибки реализации сетевого протокола SMB — именно этот протокол применяется для подключения нескольких рабочих компьютеров к одному принтеру практически в каждой организации. С помощью EternalBlue хакеры еще в 2017 году распространяли печально известный вирус-шифровальщик WannaCry, который поразил сотни тысяч организаций по всему миру. Тем не менее, за последний год количество серверов с данной уязвимостью выросло в два раза.

Также множество корпоративных серверов имеют обнаруженную в 2019 году уязвимость BlueKeep, которая позволяет атаковать протокол удаленного рабочего стола RDP. Как и EternalBlue, она используется для распространения компьютерных червей и может спровоцировать эпидемию аналогичную WannaCry.

Кибератаки с использованием перечисленных уязвимостей в свое время вызвали широкий общественный резонанс, вендоры оперативно выпустили обновления, а эксперты по информационной безопасности в каждом своем сообщении рекомендовали эти обновления установить. Однако большинство систем так и не были обновлены.

В исследуемых инфраструктурах эксперты «Ростелекома» также встречают множество ошибок в протоколах шифрования каналов связи (SSL и TLS) и нарушение логики работы веб-приложений. Это касается личных кабинетов клиентов, корпоративных порталов, почтовых приложений и т.п. Также за последний год более чем на 60 процентов выросло число доступных из интернета автоматизированных систем управления технологическими процессами предприятий (АСУ ТП), что недопустимо с точки зрения безопасности. Возможность проникнуть извне в столь критические системы значительно увеличивает риски промышленного шпионажа и кибертерроризма с последствиями вплоть до техногенных катастроф и человеческих жертв.

Вариантов использования «заветной дверцы» к инфраструктуре у хакеров достаточно. Они могут «запустить» в сеть вирус-шифровальщик, кстати, в 2020 году, кстати, его применяли в каждой третьей атаке или стиллер, который украдет учетные записи и конфиденциальные данные. Хакеры также могут запустить майнер, который будет добывать криптовалюты на мощностях организации. Через веб-уязвимость злоумышленники могут получить контроль над ключевыми серверами компании, остановить бизнес-процессы, скомпрометировать организацию в глазах клиентов и партнеров. Наконец, они могут использовать ресурсы «жертвы» для создания ботнетов и организации массовых DDoS-атак с помощью взломанных устройств.

Как защититься от кибератак

На фоне нарастающей угрозы компаниям следует усиливать киберзащиту самостоятельно или воспользоваться помощью сервис-провайдеров. Первый вариант кажется более простым: своя служба по информбезопасности, в собственности оборудование и средства защиты вопросы решаются без привлечения сторонних специалистов. Но справляться с новыми атаками, особенно на фоне массовой цифровизации становится все сложнее. К тому же не все компании могут позволить себе дорогостоящие средства защиты и содержание полноценного отдела по информационной безопасности.

Сказывается и дефицит специалистов по кибербезопасности в целом на рынке. Поэтому все чаще компании выбирают сервисы кибербезопасности. Такой подход позволяет снизить затраты на информационную безопасность в среднем на 40 процентов в сравнении с традиционной моделью. Экономия достигается за счет того, что не нужно покупать собственное оборудование и лицензии на него — все это уже есть у провайдера. А капитальные затраты разбиты на несколько лет в виде ежемесячной подписки на сервис. Кроме этого, владельцу бизнеса не нужно тратить средства на расширение ИБ-службы, а штатные «безопасники» смогут сконцентрироваться на стратегических вопросах и не отвлекаться на рутинные задачи по ежедневному мониторингу угроз.

В то же время существующие на рынке сервисные предложения, как правило, представляют собой набор разрозненных технологий без аналитического сопровождения. Такой подход не решает проблемы компаний и фактически оставляет их один на один с атаками-пандемиями и сложными угрозами. Поэтому «Ростелеком» сформировал свою экосистему сервисов Solar MSS, учитывая специфику ключевых киберугроз и запрос бизнеса на комплексные решения «под ключ». Заказчик получает круглосуточную киберзащиту не конкретных объектов, а бизнес-активов в целом с учетом актуальных угроз. Она достигается за счет экспертизы крупнейшего сервис-провайдера, которую практически невозможно вырастить внутри компании, если ее основная деятельность не связана с информбезопасностью. Организация может выбрать комплекс услуг в рамках одного из сформированных предложений — бандлов.

Так, бандл по защите от массового и целевого фишинга (интернет-мошенничества — РГ), а также продвинутых шифровальщиков обеспечивает защиту электронной почты и сети передачи данных. Кроме того, бандл направлен на повышение навыков кибербезопасности среди пользователей.

По оценке специалистов «Ростелекома», в 2020 году 75 процентов от всех атак были реализованы именно с помощью фишинговых email-рассылок. Чтобы защитить этот канал от проникновения вредоносного контента, решение в рамках бандла анализирует письма, выявляет спам и фишинговые рассылки и успешно их блокирует. В итоге вредоносный контент даже не доходит до конечного пользователя.

Помимо мониторинга почты, решение позволяет проверять сетевой трафик и файлы на наличие фишинговых ссылок и вредоносного программного обеспечения. Для этого используется универсальный шлюз кибербезопасности, который предоставляет комплексную защиту периметра организации с помощью межсетевого экрана, системы предотвращения вторжений, антивирусного сканера, а также веб- и спам-фильтров. А подозрительные файлы проходят дополнительную проверку в изолированной виртуальной среде — так называемой «песочнице».

Но средства защиты — это еще не все. Для минимизации человеческого фактора проводится обучение сотрудников безопасной работе в интернете и реагированию на фишинг. Совокупность этих технических и организационных мер позволяет компаниям предотвратить возможное хищение денег и конфиденциальных данных с помощью вредоносных программ и социальной инженерии.

Другой бандл — по защите онлайна — позволяет блокировать попытки нелегитимного проникновения и DDoS-атаки на веб-ресурсы компании. Уязвимости в приложениях — второй по популярности способ проникновения хакеров в инфраструктуру жертвы. В основе бандла сервис защиты веб-приложений WAF (Web application firewall). Он позволяет обнаружить и заблокировать атаку на веб, защититься от распространенных киберугроз (согласно списку OWASP Top 10), уязвимостей нулевого дня и т.д. Но чтобы организовать бесперебойную работу веб-ресурса, нужно защищать еще каналы и инфраструктуру, в которой он находится, от разных типов DDoS-атак. Поэтому услуга по Anti-DDoS является второй составляющей данного бандла. Уникальное отличие сервиса — собственная защищенная магистральная сеть «Ростелекома», которая охватывает всю страну и позволяет фильтровать DDoS-атаки рекордных мощностей. В частности, в 2021 году на сети провайдера была зафиксирована и нейтрализована атака мощностью более 460 Гбит/с. Технологически магистральный Anti-DDoS от «Ростелекома» может блокировать атаки мощностью до 5 Тбит/c.

Если организация уже имеет в арсенале часть решений по информационной безопасности, она может выбрать отдельные сервисы, получив вместе с необходимой технологией поддержку и экспертизу «Ростелекома». Также можно защитить каналы связи от несанкционированного доступа с помощью сервиса ГОСТ VPN или провести инвентаризацию инфраструктуры и сканирование на уязвимости с помощью сервиса VM (Vulnerability Management). Таким образом, набор сервисов от «Ростелекома» включает технологии для защиты практически всех сегментов ИТ-периметра.

В целом практически в любой, даже критической, инфраструктуре можно найти те или иные уязвимости, многими из которых уже активно пользуются злоумышленники. Однако большинство массовых атак реализуются хакерами по базовым схемам, с эксплуатацией типовых уязвимостей и применением стандартных вирусных программ. Защититься от таких распространенных киберугроз несложно. А, если выбрать услуги сервис-провайдера, то еще и доступно по цене.