Как компании построить киберзащиту: подкаст «Что изменилось? Бизнес»

Гость выпуска — Артем Мелехин, старший менеджер по технологической поддержке продаж ПАО «МегаФон». Артем объяснил, какими приемами взломщики пользуются чаще всего, а также рассказал, как научить сотрудников не открывать подозрительные письма.

Ведущий подкаста — Аркадий Глушенков, ИТ-редактор РБК.

С какими внешними киберугрозами сталкивается бизнес и как с ними бороться

Больше всего кибератакам подвержены средний и малый сегменты бизнеса, поскольку именно они наиболее уязвимы, отмечает эксперт.

• Вирусы-шифровальщики

Такие вирусы могут проникнуть в компанию через самое слабое звено — например, когда сотрудник переходит по ссылке из фишингового письма. Он шифрует все файлы и данные на жестком диске и блокирует доступ к ним. Затем пользователь видит надпись с требованием перевести некоторое количество денег злоумышленникам в обмен на ключ. Самые главные рекомендации — не платить взломщикам деньги, ежедневно или еженедельно делать бэкап и использовать базовые средства защиты, то есть антивирус. В современных антивирусах есть механизмы, которые позволяют определить принадлежность файла к вирусам еще до его запуска. Нужно ставить одинаковое антивирусное ПО на все устройства, чтобы не допустить появления «слабого звена».

• Целевая атака

Целевая атака на компанию отличается от автоматизированной атаки тем, что к ней готовятся. Она может выполняться, например, по заказу компании-конкурента. Злоумышленники собирают информацию о сотрудниках из открытых источников — VK, LinkedIn, Facebook. Это называется OSINT — разведка с использованием открытых данных. На этом этапе собирается база корпоративных почтовых адресов сотрудников. Затем формируется фишинговое письмо — по словам Артема Мелехина, фишинговая атака работает в 99% случаев. Так взломщики получают доступ к корпоративным логинам и паролям. Дальше — дело техники. Злоумышленники могут похитить данные компании, следить за всем, что происходит в ее сетях или зашифровать базы и потребовать выкуп, все зависит от их целей.

Индустрия 4.0 Что такое фишинг: как не стать жертвой хакеров

Чтобы защититься от сетевых атак, нужно использовать межсетевые экраны, которые фильтруют входящие подключения из интернета. Это устройство называется next-generation firewall (NGFW). Технология умеет определять и блокировать нетипичные подключения — например, из других стран. Важна также защита рабочих станций: установка антивирусных решений на компьютеры сотрудников и использование корректно настроенных сервисов VPN.

• DDoS-атака

Злоумышленники не стоят на месте: если раньше ботнеты заражали видеокамеры, то сейчас они атакуют роутеры. В «черную пятницу» DDoS-атака может принести бизнесу огромные убытки, поэтому компании заранее покупают защиту у провайдеров связи. У них установлено оборудование, которое постоянно осуществляет фильтрацию трафика. Сложные DDoS-атаки эмулируют действия пользователя — например, много раз кликают по кнопкам на сайте, тем самым повторяя действия реального человека. Такую атаку сложнее обнаружить, но практически у любого провайдера для этого есть специальный алгоритм.

Защититься от атак на сайт и на связку между сайтом и 1С, где ведется весь учет компании, можно несколькими способами: заранее предусмотреть возможность такого взлома, это значит, что нужно провести аудит связки «сайт–1С» или перенести 1С в облако, которое защищено лучше, чем домашний или корпоративный сервер.

Для защиты компьютеров удаленных сотрудников, как правило, достаточно тех решений, которые, как правило, уже есть у компании: например, VPN, антивируса, встроенного межсетевого экрана. И в интересах самой компании обеспечить сотрудника на удаленке корпоративным ноутбуком или установить корпоративные средства защиты на его личный компьютер.

Индустрия 4.0 Что такое DDoS-атаки и как от них защищаться бизнесу

Как не допустить утечки данных

Утечка данных — не всегда результат взлома. Ее может умышленно совершить сотрудник компании изнутри. Когда работник находится в контуре компании, она может наблюдать за его действиями. Так, если сотрудник попытается получить доступ к информации, которая ему не предназначена, сработает система DLP (Data Loss Prevention).

Наблюдение с точки зрения DLP должно вестись за каждым сотрудником, уверен Мелехин. Если человек, например, приносит заявление на увольнение, за ним должно начаться усиленное наблюдение: запись экрана, кейлогер и т.д. Это нужно, чтобы поймать тот момент, когда он соберется сделать запрещенное действие. Компания не может заставить сотрудника установить подобные решения на мобильный телефон, но есть возможность установить в офисе камеры видеонаблюдения. Тогда администратор ИБ сможет увидеть, если сотрудник сфотографирует документы, списки клиентов и другие ценные данные. В этом случае DLP будет выступать в качестве помощника по расследованию инцидента. После сбора доказательств можно обращаться в правоохранительные органы.

Аудит безопасности и пентесты: как это работает и почему это нужно любому бизнесу

Пентест — это возможность проверить свою компанию на вероятность воздействия внешних злоумышленников. Специалисты, так называемые «белые хакеры», пытаются получить доступ к данным всеми возможными способами. Если им это удается, компания устраняет найденные уязвимости.

Аудит защищенности — сбор всех возможных векторов атак, разбор каждого вектора и поиск всех возможных точек входа. Это нужно всем компаниям, от малых до крупных. Аудит и пентест обойдется даже малому бизнесу дешевле, чем убытки, которые он мог бы понести в результате атаки.

Как обучить сотрудников не попадаться на удочку хакеров

Чаще всего злоумышленники получают доступ к системам компании именно через ее сотрудников, рассказывает Артем. По опыту «МегаФона», большинство работников открывают фишинговые письма и переходят по ссылкам в них. Также важно, чтобы пользователи придумывали надежные пароли и запоминали их, а не записывали.

«МегаФон» предлагает клиентам платформу Security Awareness для обучения сотрудников информационной безопасности. На платформе есть курсы, которые структурированы по блокам, например «Что будет, если хакер подберет пароль к корпоративной учетной записи?» Там же объясняются алгоритмы создания надежного пароля, а полученные знания проверяют тестами.

Чтобы успешно пройти обучение, у сотрудника должна быть внутренняя мотивация: например, получить несколько дней дополнительного отпуска за прохождение всех курсов. Компания должна стимулировать сотрудников, чтобы они обучались и обучали своих коллег.

Что такое антифрод и для чего это банкам

Услуги антифрода — это уникальная разработка «МегаФона», которая предоставляется банкам. Когда злоумышленники пользуются подменой своего номера на короткий номер банка и звонят под видом сотрудника системы безопасности, трафик проходит через провайдера. Каждый звонок анализируется, поэтому можно определить, откуда он исходит и была ли подмена номера. Если звонок подозрительный, он даже не доходит до клиента банка. Антифрод — это договоренность между банком и провайдером, подкрепленная техническими средствами, о том, что звонки с короткого номера можно совершать только с определенного пула номеров, а все остальное — мошенники.

Индустрия 4.0 Как устроен антифрод и почему с мошенниками так сложно бороться

От чего придется защищаться в будущем

По мнению Артема Мелехина, есть три направления, которые злоумышленники будут осваивать в будущем:

1. Атаки на устройства удаленных сотрудников.
2. Массивные атаки на IoT-устройства: не только умные холодильники и кофеварки, но и, например, системы мониторинга жизнедеятельности города.
3. Будет еще больше атак с шифровальщиками, поскольку такой вирус — это простой способ получить выкуп.

Больше о кибератаках и защите от них читайте в материалах РБК Трендов:

• От хулиганских вирусов до атаки на нефтепровод: как меняются киберугрозы
• Снижаем цифровые риски: семь мер для руководителя организации
• Что такое MSSP и почему это нужно бизнесу