Киберзащите подбирают уровни
Как компании могут бороться со взломами систем
Кибермошенники могут захватить контроль над компьютерными сетями семи из 10 российских компаний. К такому выводу пришли в Сбербанке. Исследование провела дочка крупнейшего российского банка — компания BI.Zone. Она, в частности, анализирует защищенность IT-структур. Как выяснилось, злоумышленникам под силу получить права доменных администраторов большинства организаций в стране. Чем это грозит компаниям? И могут ли они оградить коммерческую информацию и данные клиентов от хакеров? Расскажет Андрей Загорский.
Речь, кстати, идет не о мелких игроках рынка, а о вполне серьезных крупных и средних компаниях. Именно их уровень защищенности проверили эксперты BI.Zone. Описанный выше сценарий предполагает, что неприятности начинаются с обычной истории. Хакеры отправляют на компьютер рядового сотрудника вредоносный файл или ссылку на него. Стоит скачать «подарок» и, что называется, процесс пошел. Получив доступ к одному компьютеру, злоумышленники приступают к изучению внутренней структуры организации, постепенно захватывают новые учетные записи и расширяют свои права.
В итоге они могут взломать и тот компьютер, где хранится учетная запись доменного администратора. Время, которое на это уходит, зависит от степени защищенности компании, но в целом преодолеть можно любые «оборонительные заграждения», если хакеры поставят себе соответствующую цель. Об этом “Ъ FM” рассказал начальник отдела информационной безопасности компании SearchInform Алексей Дрозд: «В подобных отчетах время в среднем шло на часы, дни или недели. Я встречал цифру до двух недель. Также видел информацию о том, что атаки на 99% компаний завершились успешно. Если задаться целью, можно взломать всех».
Если кибермошенникам удается завладеть правами доменного администратора, компании грозят как минимум три серьезные проблемы, отметил руководитель направления исследований Центра финансовых технологий и цифровой экономики «Сколково-РЭШ» Егор Кривошея:
«Первая проблема возникает, если у организации есть какие-то секретные данные или информация, например, о собственных разработках, которая не должна утечь в публичное пространство.
Злоумышленники могут ее обнародовать или каким-то образом воспользоваться в своих целях. Другая проблема состоит в том, что компания фактически потеряет доступ к контролю над своими операциями. Еще с одной сложностью можно столкнуться, если среди сведений, которые могут получить мошенники, содержатся финансовые данные. Например, так может произойти с крупными организациями, которые постоянно делают какого-то рода платежи, это может повлиять на то, что в их общей массе появятся какие-то дополнительные переводы».
Как отмечают эксперты, службы кибербезопасности многих российских фирм до сих пор не уделяли должного внимания защищенности компаний изнутри. Впрочем, в известной степени свою роль здесь сыграл еще и спешный перевод сотрудников на удаленный режим работы, из-за этого возникли дополнительные проблемы с киберзащитой. Так или иначе, чтобы хотя бы минимизировать угрозу взлома, во внутренней компьютерной сети компании должна быть выстроена настоящая эшелонированная оборона, пояснил Алексей Дрозд:
«Нужно несколько уровней обороны, чтобы перейти с одного на другой было проблематично.
Чтобы нельзя было, взломав компьютер рядового сотрудника, сразу на нем получить доступ к какой-нибудь учетке с максимальными правами и дальше уже ко всей сети. Бытует мнение, что в первую очередь враг снаружи, и главное — не допустить первичного взлома, то есть компьютера обычного работника. Это обманчивое суждение. Таким образом, получается, что бюджеты тратятся на защиту первого уровня, но дальше "король голый"».
Как заявил заместитель председателя правления Сбербанка Станислав Кузнецов, в конце августа российские кредитные организации столкнулись с «самой мощной в мире» атакой хакеров. «Сбер» ее успешно отразил, однако некоторые банки на какое-то время частично потеряли работоспособность. А в течение десяти дней сентября было зафиксировано 75 DDoS-атак на российские банки и страховые компании. Это означает, что активность хакеров в этот период была вдвое выше обычной.