Кіберзахист без слабких місць. Як змусити хакерів обламати зуби об вашу компанію, розповідає Head of Delivery в Favbet Tech
Сьогодні найбільша кількість кібератак у світі спрямована саме на Україну. Навіть Сполучені Штати кіберзлочинці атакують менше, ніж нас – свідчить свіжий Digital Defense Report 2023 від Microsoft. Тільки за перше півріччя 2023 року Держспецзвʼязку зафіксувала 762 кібератак проти України, а це 4-5 інцидентів на добу. Якщо у перший рік вторгнення хакери фокусувалися на державних установах, від початку 2023-го відчутно зросла кількість інцидентів у комерційному секторі.
Коли ризик бути атакованим зростає, підвищується важливість правильної стратегії захисту. Які кіберзагрози актуальні натепер, на що звернути увагу в структурі захисту від зловмисників та на чиєму боці у цій війні ШІ, SPEKA розповів Head of Delivery у Favbet Tech Віталій Сілаєв.
З якими типами кіберзагроз найчастіше стикаються українські компанії?
Глобалізація призводить до поширення технологій світом, але разом із технологіями поширюються і загрози. Тож має сенс говорити про глобальні загрози.
1. Соціальна інженерія. Тут мета хакера — отримати ваші конфіденційні дані. Кіберзлочинець за допомогою методології OSINT (Open source intelligence) збирає базову інформацію з відкритих джерел (профілі у соцмережах, згадування в інтернеті тощо).
За допомогою масиву зібраних даних хакер починає фішингову атаку, а саме підробляє листи від інших сервісів (Gmail, Facebook, Instagram чи банківського застосунку) і просить користувача замінити пароль чи верифікувати акаунт. Щойно жертва відкриє посилання та введе на підробленій сторінці пароль «верифікації», злочинець отримає доступ до її акаунту та решти акаунтів, де вона використовує той самий пароль.
Зазвичай для протидії фішинг-атакам достатньо якісного антивірусу, поштового захисту та продуманої корпоративної політики. Важливий її елемент — навчання співробітників і підвищення їхнього рівня інформаційної гігієни.
2. Підбір паролів на основі масиву даних про користувача. Якщо зловмисник зміг отримати достатньо даних жертви, зокрема, її дату народження, імена родичів, домашніх тварин чи улюблену музичну групу, ці дані можна використати для моделювання вірогідних паролів. Виконувати такий перебір можна навчити і ШІ-алгоритм. Позитивний момент полягає у тому, що ШІ можна використовувати і для кіберзахисту, наприклад, натренувати алгоритм розпізнавати потенційний фішинг і маркувати повідомлення як підозріле.
3. Brute force — тип атаки з перебиранням усіх можливих варіантів паролів користувачів. Зловмисник за допомогою технології OSINT або виявлення слабких місць у сервісі виявляє масив даних з іменами користувачів для подальшої атаки на них. Щоб не скомпрометувати таким чином дані своїх користувачів або співробітників, необхідно регулярно проводити аудит сервісу та налаштувати систему так, щоб після певної кількості неправильних логінів користувач блокувався, а також отримував відповідне повідомлення та увімкнення капчі.
4. Man in the middle (MITM). Це метод компрометації каналу звʼязку, скажімо, між компанією та її провайдером, коли зловмисник втручається у протокол передання, отримує доступ до даних, якими обмінюються контрагенти, і може змінювати та видаляти певну інформацію. Для успіху такої атаки хакер має добре знати інфраструктуру компанії-жертви. Особливо небезпечною цей тип кіберзагрози робить те, що її дуже важко виявити: формально дані відправляються і доходять до адресата без помітної затримки, але до цього проходять через хаб, у якому їх обробляють і розшифровують зловмисники.
5. Denial-of-service attack (DDOS), або атаки на відмову в обслуговуванні, у 2023 році знову увійшли до трійки найбільш поширених видів кібератак. Зазвичай під час DDоS-атаки зловмисники генерують велику кількість зовнішніх запитів, щоб правомірні користувачі не мали змоги зайти на ресурс у загальному потоку трафіку. Також хакери можуть виявити «важкі» або критичні ланки вашого ресурсу і атакувати саме їх, тут запобігти допоможе постійний аудит і тестування ресурсу. Від звичайних DDоS-атак захистять сервіси на кшталт Cloudflare та налаштування request /second від користувача.
6. Атака на критичну інфраструктуру. Завдяки фішингу шахраї отримують інформацію про слабкі місця в інфраструктурі компанії, і саме на них спрямовують DDоS-атаки, що виводять систему з ладу. Якщо злочинцям вдається обвалити усю систему або принаймні її критично важливі елементи, вони можуть отримати доступ до даних. Так, у 2013-2014 роках внаслідок двох зламів інтернет-гіганта Yahoo зловмисники вкрали 3 млрд облікових записів користувачів. У тому, що зламів було два, і скільки саме клієнтів постраждали, Yahoo зізналася тільки у 2017 році. Ця атака обернулася для Yahoo величезними фінансовими та репутаційними втратами, а настільки катастрофічним витік виявився ще й тому, що компанія дуже економила на кібербезпеці, як розповідає її колишній директор з безпеки Алекс Стамос.
7. Cтарі, але не забуті ransomware атаки. Це шкідливе програмне забезпечення, яке потрапляє на комп’ютер чи навіть на серверну частину системи, і цей «шпигун» передає інформацію назовні.
Шахраї часто використовують одночасно DDOS, фішинг та атаку на критичну інфраструктуру. Це робиться, щоб жертва не одразу зрозуміла, який з нападів є відволікальним, а який насправді небезпечним.
Яке ПЗ найчастіше імітують кіберзлочинці, що хочуть дістатися до ваших даних?
Це може бути будь-що – від торент-клієнта та нового Office до програм, що маскуються під антивірус. Також можливий варіант, коли зловмисники отримують початковий код застосунку і додають у нього свій руткіт. Подібні атаки і зливи поширені у ігровій індустрії – у 2023 році у Китаї геймери зіткнулися з руткітом, який відключав безпекові системи компʼютера жертви, щоб згодом встановити на нього шкідливе ПЗ. До речі, прикривалися ці хакери підписом Microsoft.
Навіть банальна програма з прогнозом погоди, яку ви завантажили в інтернеті, може виявитися шпигуном. В одній з великих компаній нещодавно був випадок: співробітник просто завантажив (як він гадав) оновлення застосунку свого банку. Це виявилася програма-зловмисник, що таким чином отримала доступ до його паролів.
Підписуйтеся на наші соцмережі
Видалення такої програми не завжди допоможе: вона може і далі жити в прихованих файлах. Гарантувати, що ви її позбулися, на 100% може скидання до заводських налаштувань, якщо говорити про мобільні пристрої.
Як найкраще побудувати стратегію кіберзахисту?
На організаційному рівні – політика процесів та відповідні регламенти. На технічному рівні – антивірус, фаєрволи, захист пошти. Також важливо постійно проводити аудити, сканувати мережу та застосунки на потенційні вразливості, а також використовувати при розробці застосунків методологію SSDLC (Secure Software Development Life Cycle).
Важливо розуміти, що саме ти використовуєш для свого захисту. Не варто гребувати і звичайним антивірусним ПЗ, навіть на макбуках. Те, що на макбуках не буває вірусів – міф. Їх менше, але вони існують і так само небезпечні.
Всередині мережі треба встановити систему множинної автентифікації – коли потрібно не лише ввести пароль, але й підтвердити вхід із захищеного пристрою.
Не забувайте також про регулярні бекапи та шифрування даних.
Чому шифрування даних настільки важливе?
Якщо ваші дані якісно зашифровані, це може зробити злам економічно недоцільним для хакера. Припустимо, він отримав дані, але не має ключа – тоді розшифрування коштуватиме йому так дорого, що хакеру буде дешевше лишити вас у спокої.
Другий момент – це швидкість. Деякі дані актуальні для хакера саме у момент зламу: припустимо, це листування чи інформація, що може завдати вашій компанії шкоди саме зараз. Якщо дані добре захищені, вони втратять актуальність раніше, ніж хакер їх розшифрує.
Також важлива рольова безпека. Людина – це завжди слабка ланка в системі захисту, тому тут має бути нульова толерантність. Грубо кажучи, давати співробітнику виключно ті доступи, які йому критично потрібні для роботи – нічого зайвого. Це так звана role-based access control model. Наприклад, бухгалтеру потрібен доступ до фінансових систем, але не потрібен доступ до систем, де є перелік договорів, інформації про архітектуру системи, про платіжні системи. Якщо хтось і зламає акаунт вашого бухгалтера, у ньому буде тільки частина інформації, і хакер не зможе скласти для себе повну картину.
Які нюанси обовʼязково необхідно врахувати, коли будуєте кіберзахист на рівні компанії?
Стратегія кібербезпеки компанії – постійний процес. Неможливо налаштувати все один раз і забути. Це вічні перегони тих, хто шукає спосіб зашкодити, і того, хто намагається визначити, якої шкоди і де можуть завдати компанії, та захистити її.
По-перше, потрібно постійно моніторити ризики та слабкі місця. Як правило, найменш захищені старі системи, адже технології йдуть вперед. Якщо ви не оновлюєте системи регулярно, не використовуєте найновіші технології та інфраструктурні рішення, то стаєш вразливим не через помилку, яку допустив, а тому, що ти стоїш на місці.
По-друге, коли знайшли слабкі місця, уявіть себе на місці порушника. Простіше кажучи, як ви самі б ламали свою систему. А вже на основі цього розробляєте політику та дії, потрібні, щоб цю діру закрити.
Таким чином можна швидко закрити слабкі місця, але при цьому важливо сформувати правила: людина не може забирати додому ключі на флешці, і взагалі доступ до частини ПЗ може бути тільки в офісі. Це дуже дико звучить сьогодні, адже тепер люди часто працюють онлайн, але ця стара методика досі лишається дуже ефективною.
Ключовим є й навчання співробітників. Вони повинні розуміти, що дані та їхні акаунти в системі – це також гроші компанії. Тобто не сам бізнес, а знання, як працює бізнес. Вони мають знати елементарні речі: що не потрібно завантажувати все, що пропонують в інтернеті, не на всі листи потрібно відповідати, не за всіма лінками переходити. Це банальні речі, але вони закривають більшість проблем.
Звичайно, потрібно проводити безпековий аудит. Цим можуть займатися залучені люди на аутсорсі або штатні співробітники. Грубо кажучи, мати на своєму боці білих хакерів, які постійно намагаються зламати вашу систему і одразу полагодити знайдені недоліки.
Це як тестування?
Так, є таке поняття, як «рольові ігри» – коли одна частина співробітників компанії намагається зламати її захист, а інша частина намагається запобігти злому.
Чи потрібно звертати увагу на ваші налаштування Wi-Fi?
Якщо не використовувати елементарні налаштування шифрування вашого Wi-Fi сигналу, він перетворюється на прямий випромінювач усього, що ви передаєте мережею. Зловмисники, що мають досвід та потрібне обладнання можуть з легкістю перехопити сигнал і отримати доступ до ваших даних. Найпростіше рішення – протокол WPA3. Це вже стандартна модель шифрування, яка зробить злам дуже дорогим. Здавалося б, банально, але компанії, навіть великі, часто забувають про шифрування Wi-Fi сигналу.
Як у такому випадку захистити хмарні дані?
Захист хмарних даних не надто відрізняється від захисту звичайних: потрібно шифрувати дані і використовувати множинну автентифікацію. На ринку вже є ефективні методи, наприклад, Google Authenticator.
Це дуже просте, але ефективне рішення, здатне захистити критичні системи. У хмарних ресурсах також необхідна продумана політика доступу до даних.
Серед програм для бекапу я можу порекомендувати лідерів ринку – Weem, Acronis та Symantec. У них зашиті складні алгоритми захисту даних, які потрібні для сертифікації систем як безпечних. Адже коли виходиш зі своїм програмним забезпеченням на глобальні ринки, тебе завжди питають, наскільки твоя система безпечна. А ці інструменти вже працюють згідно міжнародних сертифікацій, тож не потрібно витрачати додаткові ресурси компанії на розробку.
Чи активізувалися кібератаки з початком повномасштабного вторгнення росії в Україну?
Вже зрозуміло, що напад росії на Україну почався з масованих кібератак за декілька місяців до повномасштабного вторгнення. Також, за даними Microsoft, 50% усіх російських кібератак проти України відбулися у перші шість тижнів після початку вторгнення. Їхня інтенсивність дещо знизилася під кінець 2022 року, але у 2023 ми знову бачимо тренд на активізацію кібератак. Це інформація, яка є в загальному доступі.
Звісно, також є кейси, які досі не варто розкривати. Але Україна дуже ефективно протистоїть російським кібератакам, адже за 2023 рік частка критичних кібератак зменшилася на 81%.
Також наша сила в тому, що українська IT-армія – це децентралізована система. Це величезна кількість людей, які просто мають комп'ютер і можуть проводити елементарні DDOS-атаки (а більш обізнані навіть підбирали вектор атак до різних систем) з початку вторгнення почали діяти самостійно.
У той час як на стороні нашого супротивника працюють люди, зібрані держорганами. І вектори атак такої централізованої системи набагато легше передбачити.
Назвіть приклади масштабних атак із власної чи світової практики.
Проти нас вже неодноразово застосовували DDOS-атаки, але зазвичай зловмисники відступають, коли розуміють, що ми маємо потужний захист, і продовжувати атаку економічно невигідно. Ми постійно фіксуємо спроби «промацати» наші слабкі місця за допомогою спеціалізованого ПЗ, але наші системи захисту вчасно діагностують та блокують такі запити.
Варто памʼятати, що дуже часто найслабшою ланкою у питаннях кібербезпеки виявляється не ПЗ і не обладнання, а людина. Яскравий приклад – нещодавній скандал у США з витоком секретних даних Пентагону. Пересічний співробітник за гроші зливав інформацію китайським агентам, а отримував її, наприклад, коли під час презентацій заходив в кабінет, щоб налаштувати проєктор. Він довгий час передавав Китаю дані про стратегічні плани США у воєнній сфері, про маршрути кораблів в Тихому океані, зливав їхні технічні характеристики. Всі ці дані були максимально захищені від кібератак, мали найвищий рівень допуску, а слабким місцем виявився адміністративний персонал.
