Алексей Новиков: число кибератак выросло на два порядка после начала спецоперации на Украине
6 июня 2022 года, 10:57
Эксперт дал советы, как эффективно защититься от кибератак.
Фото: Юлия Горшкова, ИА «Время Н»
В последнее время многие сайты стали подвергаться кибератакам, а в сеть начали попадать данные пользователей различных сервисов. Корреспондент ИА «Время Н» пообщался с директором экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексеем Новиковым и узнал, с чем это связано и как это может сказаться на обычных пользователях.
- Алексей, что такое кибератаки?
— Кибератака — это попытка оказать какие-либо деструктивные воздействия на ту или иную организацию через ее ИТ-инфраструктуру. Иногда кибератаки бывают успешными, и тогда случается киберинцидент, этот термин чаще используется в профессиональном сообществе.
- Как изменилось количество кибератак после начала спецоперации на Украине?
— мы постоянно отслеживаем киберинциденты, насколько их стало больше, как меняется стратегия, инструментарий и мотивация киберпреступников, а также расследуем атаки на наших клиентов. В целом количество атак однозначно выросло и, к сожалению, выросло количество инцидентов, которые нам приходится расследовать. Наша собственная статистика конца первого — начала второго квартала показывает, что запросов на расследование инцидентов стало в три раза больше по сравнению с аналогичным периодом прошлого года.
Если же говорить о количестве атак, то оно выросло приблизительно на два порядка. Для этого есть ряд предпосылок. Во-первых, сейчас злоумышленники активно практикуют открытые призывы граждан участвовать в атаках на любую инфраструктуру, находящуюся на территории РФ. Формируются специальные паблики, телеграм-каналы, чаты, дискорды. Некоторые из них насчитывают сотни тысяч пользователей, и там ежедневно публикуются призывы к DDoS-атакам вместе с пошаговыми инструкциями, понятными даже самому неопытному пользователю (в буквальном смысле слова с четкими указаниями, какой софт скачать, как установить, на какие кнопки кликать, чтобы принять участие в конкретной атаке). Соответственно и общее количество атак действительно выросло. В первую очередь речь идет о DDoS-атаках. Сегодняшние атакующие уделяют им особое внимание, потому что результаты таких атак наиболее очевидны: сервис не работает — цель достигнута. А это более чем соответствует мотивации на привлечение наибольшего внимания к своей активности, распространенной сейчас среди атакующих.
Также участились попытки эксплуатации различных уязвимостей на периметре. К сожалению, для некоторых компаний термин «патч-менеджмент» (процесс управления обновлениями ПО) остается всего лишь термином, и число уязвимостей в инфраструктуре остается, мягко говоря, удручающим. При этом значительная часть инцидентов, связанных с утечками или публикацией злоумышленниками каких-либо данных, происходили и происходят с использованием уязвимостей, которые не устраняются годами. Допустим, публикация почтовой переписки какого-нибудь министерства или администрации — в 90% случаев это результат компрометации почтового сервера через известную уязвимость, которая позволяет получить доступ к переписке. В итоге злоумышленник выкачивает все архивы и сообщает миру: «Вот, смотрите, мы опубликовали почтовую переписку такого-то министерства за столько-то лет». Но и это еще не все: речь идет о переписке, и, как показывает практика, нередко в ней содержатся конфиденциальные данные, логины и пароли от каких-либо систем — конечно, это все становится публичным, а значит — все системы, учетные данные к которым попали в паблик, следует считать скомпрометированными.
- Какие еще могут быть последствия от кибератак?
— Традиционно для злоумышленников было три основных мотива. Первый — шпионаж, им руководствовались группировки, которые фокусировались на сложных целенаправленных атаки. Были отдельные группировки, руководствующиеся финансовой мотивацией, и совсем небольшая доля атак приходилась на хактивизм (атаки, с целью трансляции заявлений, позиции и т. п.). Начиная с конца февраля ситуация изменилась кардинально: число атак, относящихся к хактивизму, выросло в разы. Что главное для хактивистов? Получить максимальное внимание к своей деятельности и показать, что они наносят какой-то ущерб Российской Федерации. Что для них характерно? Публикация данных, вывод сервисов (желательно массовых) из строя любыми способами — от банального DDoS и шифрования данных, до удаления компонентов инфраструктуры. Главное — чтобы все заметили, что атакованный сервис не работает. После этого обычно следует публикация призывов, пояснение мотивов своих действий и проч. Например, так было в случае с атаками на ряд отечественных СМИ.
- Достаточно ли один раз защититься от кибератак?
— Конечно, недостаточно — злоумышленники периодически возвращаются к своим целям. Например, DDoS-атаки — это гарантированно повторяющаяся активность, особенно если хотя бы раз она была успешной. Надо понимать, что информационная безопасность — это не конечный процесс, это активность, требующая постоянного внимания, тренировок и анализа своего периметра, угроз, постоянного контроля используемых средств защиты и выстроенных процессов. В существенно лучшей ситуации оказываются те компании, которые выстраивают безопасность in-house и постоянно ее тестируют, проводя киберучения. Проще также и тем, кто заранее позаботился и заключил договор (либо у них есть горячий план подключения) на получение услуг по анти-DDoS у провайдера. В такой ситуации значительно проще отбиваться от атак. Тем же, кто в последние 10−15 лет информационной безопасностью не занимался вовсе, сейчас пришлось семимильными шагами за месяцы наверстывать упущенное, реализуя пятилетку за три недели. Кому-то это удалось, кому-то нет, кто-то еще в процессе.
- А вся ли защита эффективна?
— Для всех тех методов, техник и тактик, которые сегодня используют злоумышленники, уже есть соответствующие средства защиты. Апробированные и эффективные. Необходимо только понимать, что конкретно нужно защищать и в какой момент. Например, для себя в компании мы определили перечень недопустимых событий (то есть тех, которые не должны с нами случиться ни при каких условиях и именно с ориентиром на них надо выстраивать защиту). Такой же подход применим и к любой организации — для каждой есть свои недопустимые события. Например, возьмем гипотетический онлайн-магазин: остановка его работы ― недопустимое событие. Соответственно нужно проанализировать, как можно добиться того, чтобы онлайн-магазин перестал работать и по каждому сценарию продумать защиту. На работоспособность может повлиять DDoS-атака? Обеспечиваем защиту от DDoS заблаговременно. Могут быть удалены данные покупателей, но для этого необходимо получить доступ к определенным сервисам? Как можно получить к ним доступ? Используя незакрытые уязвимости? Значит инвентаризируем весь периметр, ищем все «забытые» и незакрытые уязвимости, устраняем их и делаем этот процесс постоянным. Да, на это нужно тратить человеческие и денежные ресурсы, оснащаться соответствующими технологиями, которые, к слову, есть в наличии (и даже отечественного производства). Те компании, которые в большинстве случаев столкнулись с инцидентами, оказались там, где они есть, ровно потому, что что-то недоделали в своей защите, на что-то закрыли глаза или решили, что они не интересны злоумышленникам.
- Как сказываются кибератаки на пользователях? Представляют ли они опасность для них?
— В первую очередь, в результате кибератаки пользователи не могут пользоваться привычными им электронными услугами или сервисами. Большинство атак сегодня направлено на пользователей лишь косвенно: эффективнее атаковать какой-либо сервис, чтобы вызвать волну пользовательского возмущения и резонанс. То есть ситуация развивается примерно так: выполняется DDoS-атака, скажем, на онлайн-банкинг, банк-жертва оказывается к этому не готов и в итоге онлайн-банкинг не работает, пользователи начинают писать в техподдержку, спрашивать в соцсетях и т. д. Пользователей эта ситуация аффектит — они не могут воспользоваться своими деньгами, платежи не проходят, деньги не переводятся, но тем не менее прямого воздействия на пользователей все же пока нет.
- А как влияет на пользователей утечка данных?
— Тут вопрос в том, как пользователь относится к этим данным. Лично я, когда регистрируюсь на каком-либо сервисе и указываю информацию, сразу исхожу из парадигмы, что рано или поздно эта информация станет публичной. Скажем, возьмем утечку данных Яндекс. Еды — «утекли» номера телефонов, суммы заказов пользователей. С одной стороны, эта информация не является критичной. С другой ― она может использоваться при последующих атаках на самих пользователей, например, при мошеннических телефонных обзвонах. Чем больше злоумышленник знает о человеке, тем проще втереться в доверие (то есть тем эффективнее то, что мы называем социальной инженерией). Пользователям необходимо вырабатывать базовые правила кибергигиены для того, чтобы даже попадание этой информации в публичное пространство и знакомство с этой информацией злоумышленников никак не влияло на их собственную безопасность.
- Какие правила кибергигиены существуют?
— Нужно четко понимать, какими сервисами и где пользуешься. Дальше надо смотреть, какие системы безопасности эти сервисы предоставляют. Сейчас все знают, что на госуслугах можно продать или подарить квартиру. Был кейс, когда злоумышленники получили доступ к личному кабинету, продали у человека квартиру, а он узнал об этом из платежки. А теперь вопрос: у кого на госуслугах стоит двухфакторная авторизация? Как это ни удивительно, но далеко не у многих пользователей.
Второе — использовать разные пароли. Об этом говорят очень и очень многие, тем не менее это все еще актуально. Не можешь запомнить 50 паролей ― используй специальный менеджер паролей. Именно пароли — это основная проблема, из-за которой страдают пользователи.
Также нужно обязательно устанавливать обновления. В том числе — обновления для браузеров.
И, конечно, нужно образовываться, не вестись на фишинговые письма в стиле «Вы выиграли в конкурсе, перейдите по ссылке, заплатите 5 тысяч рублей». Надо понимать, что именно так действуют злоумышленники, и ни в коем случае не нужно делать что-то, особенно если некто вас настойчиво побуждает к этому прямо здесь и сейчас.
Автор: Наталья Битулина