Киберугрозы в 2013 году: защита бизнеса

«Лаборатория Касперского» предлагает свое видение и прогноз развития угроз безопасности бизнеса в 2013 году. Итак, какие напасти будут подстерегать бизнес на протяжении ближайших 12 месяцев и что делать, чтобы дать им достойный отпор.

 

  1. Целевые атаки и кибершпионаж

Нередко считают, что «зловреды» — это где-то «там». Такое мнение чаще всего складывается о целевых атаках. Если верить СМИ, может сложиться впечатление, что целевые атаки являются проблемой лишь крупных компаний, особенно тех, которые обеспечивают работу критически важных для страны объектов инфраструктуры. Однако в действительности мишенью злоумышленников может оказаться любая организация. Абсолютно все предприятия имеют дело с информацией, способной заинтересовать киберпреступников; при этом компания даже может не быть конечной целью злоумышленников – похищенные данные зачастую используются для того, чтобы подобраться к другим организациям.

Большинство «зловредов» разработаны таким образом, чтобы максимально долго оставаться незаметными и собирать данные без ведома пользователя. Поэтому они гораздо более коварны, чем кибервандализм, «процветавший» в 1990-х годах. Финансовый ущерб от современных «вредоносов» гораздо труднее оценить, поскольку жертва может попросту не знать о факте заражения и не иметь представления о том, какие данные могли быть украдены злоумышленниками. В большинстве своем кибератаки бессистемны и направлены на кражу личной информации у случайных пользователей. Однако число целевых атак растет. Они проводятся с целью проникнуть в корпоративную сеть конкретной организации, похитить конфиденциальные данные или нанести ущерб репутации компании. Кроме того, сейчас «вредоносы» также используются как кибероружие. В этом случае компании, не располагающей надежной системой защиты, может быть нанесен так называемый «побочный ущерб» – даже если она не находится непосредственно «на линии огня».

В такой ситуации инвестиции в IT-безопасность становятся важны как никогда. И эти инвестиции подразумевают разработку корпоративной стратегии безопасности, которая должна учитывать особенности именно вашего бизнеса, а не строиться исключительно на основе общих рекомендаций или предварительной оценки возможного финансового ущерба от действий киберпреступников. Важно оценить последствия прошлых кибератак для вашего бизнеса и спрогнозировать, какой эффект могут иметь возможные атаки в будущем. Необходимо также понимать, что действия по обеспечению безопасности имеют смысл только в том случае, если они выполняются на регулярной основе. Поэтому вам потребуется механизм оценки эффективности используемых средств защиты и отработанная процедура корректировки стратегии безопасности для успешного противодействия новым угрозам.

Прежде всего следует начать с тщательной оценки всех рисков, с которыми сталкивается бизнес: возможные векторы атаки, финансовый ущерб в случае успешной атаки, эффективность стратегии устранения негативных последствий атаки.

На все вышеперечисленное оказывают влияние существующие бизнес-процессы, местонахождение сотрудников, используемые для работы устройства и место хранения корпоративных данных. При формировании корпоративной политики безопасности прежде всего надо проводить оценку рисков, иметь план действий на случай инцидентов и группу оперативного реагирования, определиться со стратегией обновления защиты и разработать стратегию повышения осведомленности сотрудников.

Количество вредоносных программ (специалисты «Лаборатории Касперского» ежедневно детектируют около 200 000 (!) уникальных образцов), скорость их распространения и растущая сложность атак, в том числе целевых, направленных на конкретные мишени – все это делает необходимым применение проактивных технологий защиты. Важно использовать решения, в которых реализованы технологии для блокирования новых, еще неизвестных, угроз в режиме реального времени, а не полагаться на одни лишь традиционные сигнатурные методы защиты.

Необходимо, чтобы план реагирования на инциденты, помимо устранения непосредственной угрозы, также включал меры по обеспечению непрерывности бизнес-процессов и позволял решать вопросы, не связанные с техническими последствиями атаки – такие как информирование общественности и минимизация ущерба для репутации компании.

Многие современные угрозы в высшей степени сложны. Однако часто целевая атака начинается с того, что сотрудников обманом вынуждают совершать действия, ставящие безопасность компании под угрозу. Киберпреступники также собирают информацию в соцсетях и на других общедоступных ресурсах и затем используют ее, чтобы проникнуть в корпоративную сеть, минуя защитные барьеры. Люди поддаются на уловки социальной инженерии  по разным причинам. Иногда они просто не осознают существующую опасность, иногда забывают о том, что «бесплатный сыр бывает только в мышеловке», а иногда просто пытаются облегчить себе жизнь – например, используя один и тот же пароль для всех своих онлайн-аккаунтов. К сожалению, в компаниях зачастую не учитывают человеческий фактор при формировании стратегии IT-безопасности. В ряде случаев необходимость повышения осведомленности персонала признается, но используемые методы не приводят к желаемым результатам. Однако игнорировать человеческий фактор в вопросах защиты корпоративной IT-инфраструктуры ни в коем случае нельзя, поскольку совершенно очевидно, что технологии сами по себе не могут гарантировать безопасность. Поэтому компаниям исключительно важно включить в свою защитную стратегию информирование сотрудников о проблемах IT-безопасности

  1. «Облачно», вероятны вредоносные атаки

Развитию «облачных» сервисов способствуют два ключевых фактора. Первый из них – значительная экономия средств для любого бизнеса за счёт эластичности «облака» при хранении данных или хостинге приложений. Второй фактор – гибкость: данные доступны в любое время, из любой точки мира, с любого устройства (в т.ч. с ноутбука, планшета или смартфона). Однако по мере расширения использования «облачных» сервисов будет расти и количество нацеленных на них угроз.

Важно понимать, что хотя организации могут использовать сторонние ресурсы для обработки и хранения информации, они все равно продолжают нести полную ответственность за свои данные. Если системы провайдера услуг будут взломаны и произойдет утечка информации, то ответственность за утрату данных будет лежать на компании. Следовательно, предприятия должны оценивать потенциальные риски хранения данных «на стороне» точно так же, как если бы они хранили данные в пределах собственной IT-инфраструктуры. Есть и другие немаловажные вопросы, о которых не следует забывать. Так, имеет значение фактическое местонахождение серверов, на которых хранятся данные организации, и соответствующая юрисдикция, под которую они при этом подпадают. Не менее важны и меры по обеспечению безопасности данных, предпринимаемые провайдером (в т.ч. методы защиты данных от третьих сторон, пользующихся услугами того же провайдера), и наконец, логистика возможной будущей миграции данных на серверы другого провайдера.

  1. Кто украл мою частную жизнь?!

Каждый раз, когда мы заводим учётную запись в Интернете, мы раскрываем определенную информацию о себе. Этим пользуются компании по всему миру, активно собирающие данные о своих клиентах. Угроза для приватности принимает две формы. Во-первых, личные данные подвергаются опасности в том случае, когда злоумышленники получают доступ к компьютерным системам компаний-поставщиков товаров и услуг. Во-вторых, компании собирают информацию о клиентах, зачастую без ведома последних, и используют её для рекламы и продвижения товаров и услуг, причём клиентам не всегда понятно, как отказаться от участия в этом процессе. Следует понимать, что личные данные имеют ценность как для киберпреступников, так и для легального бизнеса. Также важно не забывать, что чрезмерная открытость сотрудников, охотно сообщающих данные о себе в Интернете, подвергает риску не только их личную безопасность, но и безопасность организации, в которой они работают: киберпреступники активно собирают данные, находящиеся в общем доступе, чтобы затем с их помощью проводить целевые атаки на предприятия. В связи с этим организации должны информировать сотрудников о рисках, с которыми связано раскрытие личной информации в Глобальной Сети.

  1. Кому верить?

Мы все склонны доверять веб-сайтам, имеющим сертификат безопасности, выданный известным центром сертификации, а также приложениям, подписанным с помощью цифрового сертификата. К сожалению, киберпреступники в последнее время не только фабрикуют фальшивые сертификаты для вредоносного ПО (так называемые «самозаверенные» сертификаты), но и успешно взламывают серверы центров сертификации, чтобы затем заверять крадеными сертификатами свой код.

Проблема может усугубиться в том случае, если производитель защитных решений автоматически добавит приложение с краденым сертификатом в свой «белый список», содержащий заведомо легитимные программы. Инсайдер, пользующийся доверием, также всегда представляет серьезную угрозу безопасности данных – как в физическом, так и в цифровом мире. Поэтому полагаться на какой-либо один метод защиты, будь то черные (на базе сигнатурного анализа) или белые списки, неразумно. Необходимо применять комплексные и интегрированные защитные технологии.

  1. Кибервымогательство

Методы, используемые киберпреступниками для получения наживы, зачастую не отличаются изяществом. Программы-вымогатели действуют подобно локальным DoS-атакам – они блокируют доступ к файловой системе компьютера или шифруют хранящиеся на нём данные. В этом случае проблема заключается не в удалении вредоносной программы или восстановлении зараженного компьютера, а в возможной потере данных. Поэтому организациям любого масштаба (равно как и домашним пользователям) необходимо регулярно создавать резервные копии данных; в этом случае потеря информации, по какой бы причине она ни произошла, не повлечет за собой катастрофических последствий.

  1. «Зловреды» для Mac OS

Вопреки расхожим представлениям компьютеры Mac не обладают абсолютным иммунитетом к вредоносным программам. Конечно, по сравнению с объемом вредоносного ПО, нацеленного на Windows, количество зловредов для Mac OS незначительно. С другой стороны, в последние 2 года оно неуклонно растёт, и со стороны пользователей Mac было бы наивно полагать, что они защищены от атак киберпреступников на все 100%. Речь идет не только о массовых угрозах (таких как ботнет Flashfake, состоявший из 700 000 заражённых компьютеров Mac). Нам приходилось сталкиваться и с целевыми атаками на конкретных пользователей или группы пользователей Mac. Таким образом, угрозы для компьютеров Apple вполне реальны, и в дальнейшем их число, скорее всего, будет только расти.

  1. Мобильные «зловреды»

Традиционные рабочие места постепенно теряют свое значение. Сотрудники компаний всё чаще решают рабочие вопросы «на ходу»: дома, в аэропорту, в гостинице и в любых других местах, где доступна беспроводная связь. Это приводит к тому, что компаниям становится всё труднее обеспечивать безопасность корпоративных данных. При этом нельзя сказать, что традиционный периметр корпоративной сети исчезает – скорее, он фрагментируется и постоянно меняет очертания в зависимости от перемещений пользователей. В результате увеличивается количество узлов сети, уязвимых для вредоносных и хакерских атак.

На безопасность бизнеса серьезно влияет растущая популярность смартфонов. IT-службам теперь приходится обеспечивать безопасность разнообразных устройств в составе корпоративной сети: ПК, ноутбуков и смартфонов различных моделей. Проблема усугубляется тем, что многие сотрудники используют одно и то же устройство как в личных, так и в рабочих целях – тенденция BYOD (Bring Your Own Device). В связи с этим утеря мобильного устройства и хранящихся на нем данных грозит серьезными последствиями не только для самого владельца смартфона, но и для организации, в которой он работает. Речь идет об утечке конфиденциальных данных, а также возможном ущербе для репутации компании. Таким образом, потенциальные риски связаны не только с угрозами, исходящими от вредоносных программ, но и с возможной утечкой данных в результате утери или кражи мобильного устройства сотрудника.

Для корпоративной безопасности это означает следующее. Во-первых, изменения рабочих процессов требуют пересмотра корпоративных политик безопасности. IT-службы уже не могут защитить традиционный периметр корпоративной сети. Вместо этого им необходимо формировать «зону безопасности» вокруг каждого сотрудника, независимо от того, откуда и с какого устройства он работает. Во-вторых, защитные инструменты, используемые в организации, должны быть достаточно гибкими для успешного применения такой политики «индивидуальной защиты».

  1. Уязвимости и эксплойты

Одним из основных способов, которые используют киберпреступники для установки вредоносного ПО на компьютеры пользователей, является эксплуатация незакрытых уязвимостей в приложениях. Большинство злоумышленников интересуется уязвимостями в популярных приложениях, редко обновляемых пользователями или организациями – это даёт преступникам время, необходимое для достижения своих целей. В данный момент более 50% подобных атак направлены на Java-уязвимости, а 25% – на уязвимости в Adobe Reader.

Чтобы свести к минимуму возможности для проведения атак, предприятиям нужно своевременно обновлять используемое ПО, устанавливать последние обновления безопасности, а также регулярно деинсталлировать программы, которые более не нужны для работы. Сканер уязвимостей, выявляющий приложения, требующие обновления, позволяет снизить риск того, что такие приложения останутся без внимания и в дальнейшем будут использованы киберпреступниками для получения доступа к корпоративным системам.

Учитывая вышесказанное, можно эффективно защитить ваш бизнес от «зловредов».