Хактивисты в деле

С конца февраля с российского рынка ушли более десятка зарубежных вендоров информационной безопасности. Среди них такие крупные бренды, как Cisco, Fortinet, Microsoft, McAfee, IBM, Avast и другие. Их защитные системы перестали работать или же перешли в режим ограниченной функциональности, прекратились техническая поддержка и обновление баз. В итоге российские компании, использовавшие эти решения, столкнулись с серьёзными киберрисками и начали активно переключаться на отечественные продукты. По внутренним данным «Лаборатории Касперского», спрос на антиспам-решения и системы для сканирования входящего и исходящего веб-трафика вырос в пять раз по каждому из направлений, по защите от целевых атак — в три раза.

«Мы видим смену ландшафта. Нынешний рост кибератак связан с перенаправлением мишеней», — объясняет Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского». По его словам, подобный рост был в начале пандемии, когда компании массово переходили на удалённый режим работы. Только сейчас разрез атак другой.

Многие угрозы исходят от так называемых «хактивистов» (хакеров-активистов). К ним относится, например, группировка Anonymous. Она выражает свою политическую позицию через деструктивную деятельность (взламывая ресурсы, сливая данные, шифруя их) и таким образом пытается повлиять на общественные процессы. Так, в конце февраля хакеры Anonymous взломали сайты нескольких российских СМИ и разместили на их главных страницах призыв прекратить спецоперацию в Украине.

Сейчас злоумышленники атакуют всё, до чего могут дотянуться, говорит Алексей Новиков, директор экспертного центра безопасности Positive Technologies. Главная их задача — создать видимость шквала атак. За последнее время под ним оказались сайты арбитражных судов, сервис Госмониторинга, сайты СМИ, служба доставки Boxberry, стриминговые сервисы, электрозарядные станции, холдинг «Мираторг».

Случайные и неслучайные соучастники

«Динамика роста DDoS-атак связана с геополитическими событиями. Примерно 90% атак сейчас являются целевыми, политически мотивированными», — говорит Алексей Новиков, директор экспертного центра безопасности Positive Technologies.

Российские организации атакуют и те, кто откликнулись на призыв министра по цифровой трансформации Украины о создании киберармии, и стихийно формирующиеся инициативные группы людей, имеющих компетенции в области IT и кибербезопасности. В киберпротивостояние вовлекаются и обычные пользователи. Опытные хакеры разрабатывают для них простые инструменты и инструкции, которые позволяют проводить атаки одной кнопкой. Для их координации созданы специальные чаты — чаще всего в Telegram и Discord. К примеру, число активных пользователей одного из них — более 300 тыс. человек, а всего таких чатов несколько десятков. С начала марта ежедневно публикуется в среднем до 30 призывов к участию в DDoS-атаках. При этом в большинстве случаев атака начинается в течение 10–15 минут после публикации призыва.

Иногда соучастниками атак становятся просто любопытные граждане, гуляющие по просторам интернета. Вся их злонамеренная активность сводится к банальному клику по ссылке. Этого вполне достаточно, чтобы отдать мощности своего компьютера в пользу массовой DDoS-атаки и даже не знать об этом.

Другой подход заключается в том, чтобы вставить в программу вредоносный код, который позволяет злоумышленникам выполнять всевозможные задачи. Так, пользователи одной из онлайн-игр вместо рекламы видели политические лозунги, приводит в пример Новиков. Сам разработчик игры не знал о проблеме, так как она исходила от сервиса доставки рекламы. С помощью того же подхода в программы с открытым кодом интегрируется функционал для DDoS-атаки, обхода средств защиты и уничтожения данных.

Не стоит сбрасывать со счетов и профессиональные хакерские команды. Они используют общий фон для маскировки и имеют свои далеко идущие планы по контролю инфраструктур отечественных компаний. Контролируемая злоумышленниками инфраструктура может использоваться, например, в атаках на цепочку поставок, когда взломанная компания становится своего рода прикрытием для последующей атаки на её партнёров и клиентов.

Ушли и не обещали вернуться

В условиях, когда крупные зарубежные компании перестали поддерживать свои продукты в России, возникает соблазн перейти на нелицензионные версии программ. Крупные игроки на это вряд ли пойдут, считает Галов. Нелицензионные программы будут распространяться среди обычных пользователей и малого бизнеса. Риторика «скачивай что хочешь, но пользуйся антивирусом» здесь не сработает. Никакой антивирус не защищает на 100%, если пользователь бездумно ставит программы. Тем более при инсталляции взломанных программ пользователя часто просят выключить на время антивирус.

Уход зарубежных компаний в области кибербезопасности не приведёт к катастрофическим последствиям, но перестройка бизнеса на новые решения займёт время, говорит Дмитрий Галов. Высокоуровневое корпоративное ПО по щелчку не заменишь. Поэтому IT и ИБ-отделы компаний пока оценивают риски и разрабатывают сценарии перестройки.

Отказываться от обновлений не стоит, поскольку они касаются не только функционала, но и безопасности программ (апдейты исправляют обнаруженные за последнее время уязвимости). Лучше настраивать их вручную, чтобы обновившаяся автоматически программа не преподнесла «сюрпризов».

Релокация здорового человека

Пандемия научила компании налаживать информационную безопасность при удалённой работе сотрудников — когда размыт периметр инфраструктуры. Поэтому релокация команд и отделов происходит безопасно. Можно выделить четыре основных признака безопасной удалённой команды.

• При работе через общедоступную сеть сотрудники пользуются корпоративным VPN, который предоставляет доступ к внутренним системам через зашифрованный канал.
• Сотрудники разграничивают личные и корпоративные устройства. Не скачивают торренты и не устанавливают нелицензионные программы на рабочие компьютеры.
• Сотрудники обмениваются данными только через корпоративные программы, без использования сторонних продуктов, которые находятся вне видения отделов безопасности.
• Сотрудники в активном формате проходят тренинги по кибербезопасности.

После кибератаки кулаками не машут

«Что делать, если начался пожар? Тушить. А затем поставить датчики дыма», — объясняет Галов. В кибербезопасности важнее всего превентивные меры, а не действия постфактум. Эксперт подчёркивает необходимость формировать кибериммунитет. Например, в идеале защитные механизмы закладываются в программу ещё на этапе разработки. Обеспечить безопасность постфактум становится всё сложнее и сложнее.

Большинство российских компаний оказались не готовы к наплыву атакующих. Их системы информационной безопасности отлично справлялись с автоматизированными и не столь массовым атаками. Как только к процессу подключается человек, способный проанализировать, почему атака не прошла, с помощью небольшой модификации он может превратить её в успешную.

На фоне этого на поверхность вылезли проблемы, на которые компании исторически не обращали внимания. Например, на старые сайты, не обновлявшиеся несколько лет. Хакеры их находят и пытаются использовать в своих целях. Другой пример — несвоевременное закрытие выявленных уязвимостей. Раньше это было не критично, сейчас любая незначительная проблема может перерасти в громкий инцидент.

«Уровень осознанности в отношении кибербезопасности в отечественном бизнесе перешёл на кардинально иной уровень. Даже ретрограды осознали, что совершенно не важно, как много создано регламентов по информационной безопасности и сколькими средствами защиты ты обложился, если в результате атаки похищены деньги и данные, нарушена работоспособность ключевых для компании сервисов и систем и остановлены производственные процессы. Это недопустимо, но, как показывает опыт последних недель, вполне реально», — замечает Новиков.

Чтобы сохранить стабильную операционную деятельность и сформировать минимальный кибериммунитет, нужно предпринять несколько шагов. Во-первых, проверить реальную защищённость компании и её систем на возможность реализации недопустимых событий; во-вторых, провести ретроспективное расследование на предмет «старых» взломов; в-третьих, заменить ключевые средства защиты на конкурентоспособные отечественные (особенно это касается периметровых средств защиты и систем центров мониторинга информационной безопасности).