Хотим мы того или нет, но с каждым годом хакеры используют все более изощренные способы кибератак, а пострадать от них может любая компания — и международный гигант, и небольшое семейное предприятие. Общемировой ущерб от кибернападений измеряется миллиардами долларов. Вирусы не только бьют по репутации компании, но и нарушают бизнес-процессы. Например, японскому автопроизводителю Honda из-за атаки, случившейся в июне 2017 года, пришлось остановить работу завода на целые сутки.

Как показало расследование инцидентов, вызванных шифровальщиками WannaCry и Petya, вирусы использовали одну и ту же уязвимость в реализации протокола SMB в операционных системах Windows. Petya, атаковавший компании по всему миру через месяц после WannaCry, нанес ничуть не меньший ущерб, чем его предшественник, из чего можно сделать вывод, что к рекомендациям по обновлению ПО и установке заплат мало кто прислушался. Результат, думаю, все видели в заголовках СМИ.

ЧТО ТАИТ СЕТЬ: УГРОЗЫ КОРПОРАТИВНОЙ БЕЗОПАСНОСТИ

Первые экземпляры вируса чаще всего проникают в сеть через корпоративную почту. Например, отдел кадров получает письмо с резюме во вложении. Сотрудник HR-службы при всем желании не сможет догадаться, заражено оно или нет, так как все письма отправляются соискателями с личных адресов.

Заражение может происходить незаметно: вирус самостоятельно распространяется по сети компании через уязвимые компьютеры. Дело в том, что трафик инспектируется в основном только на участке «Интернет — корпоративная сеть». Если вирус уже внутри, исследование трафика на угрозы чаще всего не осуществляется.

Распространяясь невероятно быстро, вирус может в одночасье парализовать все бизнес-процессы. В основном цель злоумышленников — вымогательство, но у шифровальщика есть и другие неприятные последствия: остановка работы промышленного оборудования, банкоматов, касс в магазинах.

Если на компьютерах пользователей и серверах имеется уязвимость, то через нее, как по приглашению, за периметр могут попасть и другие угрозы — например, шпионское ПО, которое наносит вред компании исподтишка, воруя конфиденциальные данные. Это опять-таки лишь один из возможных сценариев. Уязвимости есть везде, даже в самых проработанных программах или операционных системах, а вариантов воспользоваться ими очень много.

ЗАЩИТА В ЭПОХУ ШИФРОВАЛЬЩИКОВ

Самый элементарный способ снизить риск заражения вирусами — следить за сообщениями о новых угрозах (рассылки партнеров, официальные сообщения компаний и исследовательских групп и т. п.) и своевременно обновлять ПО. Полезные ИТ-инструменты для этих целей предлагают ведущие разработчики в области обеспечения сетевой безопасности: Palo Alto, Fortinet, Check Point и др.

Эффективным средством противодействия угрозам является сервис «песочницы», благодаря которому разработчики получают огромное количество экземпляров вредоносных файлов и могут оперативно предоставлять информацию (сигнатуры) своим подписчикам — компаниям, у которых установлены межсетевые экраны того или иного вендора. Это позволяет максимально быстро в автоматическом режиме блокировать вредоносное ПО после его обнаружения на глобальном уровне. Сервис песочницы может быть реализован как облачная услуга или размещен в инфраструктуре заказчика по модели on-premise.

Наиболее эффективный способ защиты на текущий момент — реализовать в компании комплексный подход к информационной безопасности: установить антивирус (для защиты оконечных устройств) и межсетевой экран следующего поколения, а кроме того, воспользоваться возможностями песочницы. Каждый из этих вариантов по отдельности — не панацея, но вместе они создают серьезную полосу препятствий для хакеров.

Представим себе компанию, на почтовый сервер которой приходит письмо со встроенным вредоносным кодом. В зависимости от квалификации хакеров, он может либо вообще не проникнуть в систему (например, если используется неактуальный метод атаки), либо углубиться «внутрь» ровно настолько, насколько ему позволят имеющиеся средства защиты. Комплексная защита воздвигает сразу несколько препятствий на пути к данным и корпоративным системам: антивирус защищает конечные устройства, а песочница и межсетевой экран — всю сеть, как бы создавая щит, который не пропускает подозрительные объекты.

Инновационные ИТ-инструменты защиты конечных устройств, такие как Traps компании Palo Alto, умеют не просто выполнять анализ сигнатур, но и бороться с неизвестными угрозами нулевого дня. Traps выявляет отклонения в стандартной работе программных продуктов (например, нетипичное обращение к другим участкам памяти) и при необходимости блокирует подозрительные действия.

К сожалению, как показывает опыт прошлого лета, даже не все крупные компании обладают подобной системой. Наиболее ответственный подход к обеспечению безопасности продемонстрировали банки, поскольку подобные инциденты (особенно публичные) для них наиболее критичны. Этот вопрос остро стоит на повестке дня у предприятий из нефтегазового и телекоммуникационного секторов. В зоне повышенной опасности находятся розничные сети, поскольку из-за большого количества подрядчиков, партнеров и множества магазинов, расположенных в самых разных регионах страны, вирус может легко распространиться по цепочке. Следует всегда помнить о том, что игнорирование собственной защиты может иметь самые негативные последствия не только для самой компании, но и для всех, с кем она взаимодействует.

Андрей Врублевский, руководитель направления оптимизации и контроля сети компании «КРОК»