Следите за новыми эпизодами и подписывайтесь на подкаст на любой удобной платформе: Apple Podcasts, CastBox, «Яндекс.Музыке», Google Podcasts, Spotify и ВК Подкасты. А еще следите за нами в Instagram «Что изменилось?» — там мы подробно обсуждаем то, что не успели проговорить в выпуске, и делимся интересными материалами по теме.
Гость выпуска — Артем Мелехин, старший менеджер по технологической поддержке продаж ПАО «МегаФон». Артем объяснил, какими приемами взломщики пользуются чаще всего, а также рассказал, как научить сотрудников не открывать подозрительные письма.
Ведущий подкаста — Аркадий Глушенков, ИТ-редактор РБК.
Таймлайн беседы
01:54 — С какими типами киберугроз чаще всего сталкивается бизнес, и как от них защититься?
04:46 — Почему бесплатного антивируса недостаточно?
17:43 — Как обеспечить защиту данных в период удаленки
22:09 — Как не допустить утечек информации
32:10 — Искусственный интеллект в кибербезопасности
35:34 — DDoS-атаки: как защитить сайты в черную пятницу
42:38 — Аудит безопасности и пентесты: что это и кому надо
48:45 — Как развить в сотрудниках ответственное отношение к кибербезопасности
54:10 — Что такое антифрод и зачем это нужно
58:30 — Как разговаривать с телефонными мошенниками?
59:17 — Самый интересный кейс, который удавалось решить
1:05:20 — Будущее технологий кибербезопасности
С какими внешними киберугрозами сталкивается бизнес и как с ними бороться
Больше всего кибератакам подвержены средний и малый сегменты бизнеса, поскольку именно они наиболее уязвимы, отмечает эксперт.
- Вирусы-шифровальщики
Такие вирусы могут проникнуть в компанию через самое слабое звено — например, когда сотрудник переходит по ссылке из фишингового письма. Он шифрует все файлы и данные на жестком диске и блокирует доступ к ним. Затем пользователь видит надпись с требованием перевести некоторое количество денег злоумышленникам в обмен на ключ. Самые главные рекомендации — не платить взломщикам деньги, ежедневно или еженедельно делать бэкап и использовать базовые средства защиты, то есть антивирус. В современных антивирусах есть механизмы, которые позволяют определить принадлежность файла к вирусам еще до его запуска. Нужно ставить одинаковое антивирусное ПО на все устройства, чтобы не допустить появления «слабого звена».
- Целевая атака
Целевая атака на компанию отличается от автоматизированной атаки тем, что к ней готовятся. Она может выполняться, например, по заказу компании-конкурента. Злоумышленники собирают информацию о сотрудниках из открытых источников — VK, LinkedIn, Facebook. Это называется OSINT — разведка с использованием открытых данных. На этом этапе собирается база корпоративных почтовых адресов сотрудников. Затем формируется фишинговое письмо — по словам Артема Мелехина, фишинговая атака работает в 99% случаев. Так взломщики получают доступ к корпоративным логинам и паролям. Дальше — дело техники. Злоумышленники могут похитить данные компании, следить за всем, что происходит в ее сетях или зашифровать базы и потребовать выкуп, все зависит от их целей.
Чтобы защититься от сетевых атак, нужно использовать межсетевые экраны, которые фильтруют входящие подключения из интернета. Это устройство называется next-generation firewall (NGFW). Технология умеет определять и блокировать нетипичные подключения — например, из других стран. Важна также защита рабочих станций: установка антивирусных решений на компьютеры сотрудников и использование корректно настроенных сервисов VPN.
- DDoS-атака
Злоумышленники не стоят на месте: если раньше ботнеты заражали видеокамеры, то сейчас они атакуют роутеры. В «черную пятницу» DDoS-атака может принести бизнесу огромные убытки, поэтому компании заранее покупают защиту у провайдеров связи. У них установлено оборудование, которое постоянно осуществляет фильтрацию трафика. Сложные DDoS-атаки эмулируют действия пользователя — например, много раз кликают по кнопкам на сайте, тем самым повторяя действия реального человека. Такую атаку сложнее обнаружить, но практически у любого провайдера для этого есть специальный алгоритм.
Защититься от атак на сайт и на связку между сайтом и 1С, где ведется весь учет компании, можно несколькими способами: заранее предусмотреть возможность такого взлома, это значит, что нужно провести аудит связки «сайт–1С» или перенести 1С в облако, которое защищено лучше, чем домашний или корпоративный сервер.
Для защиты компьютеров удаленных сотрудников, как правило, достаточно тех решений, которые, как правило, уже есть у компании: например, VPN, антивируса, встроенного межсетевого экрана. И в интересах самой компании обеспечить сотрудника на удаленке корпоративным ноутбуком или установить корпоративные средства защиты на его личный компьютер.
Как не допустить утечки данных
Утечка данных — не всегда результат взлома. Ее может умышленно совершить сотрудник компании изнутри. Когда работник находится в контуре компании, она может наблюдать за его действиями. Так, если сотрудник попытается получить доступ к информации, которая ему не предназначена, сработает система DLP (Data Loss Prevention).
Наблюдение с точки зрения DLP должно вестись за каждым сотрудником, уверен Мелехин. Если человек, например, приносит заявление на увольнение, за ним должно начаться усиленное наблюдение: запись экрана, кейлогер и т.д. Это нужно, чтобы поймать тот момент, когда он соберется сделать запрещенное действие. Компания не может заставить сотрудника установить подобные решения на мобильный телефон, но есть возможность установить в офисе камеры видеонаблюдения. Тогда администратор ИБ сможет увидеть, если сотрудник сфотографирует документы, списки клиентов и другие ценные данные. В этом случае DLP будет выступать в качестве помощника по расследованию инцидента. После сбора доказательств можно обращаться в правоохранительные органы.
Аудит безопасности и пентесты: как это работает и почему это нужно любому бизнесу
Пентест — это возможность проверить свою компанию на вероятность воздействия внешних злоумышленников. Специалисты, так называемые «белые хакеры», пытаются получить доступ к данным всеми возможными способами. Если им это удается, компания устраняет найденные уязвимости.
Аудит защищенности — сбор всех возможных векторов атак, разбор каждого вектора и поиск всех возможных точек входа. Это нужно всем компаниям, от малых до крупных. Аудит и пентест обойдется даже малому бизнесу дешевле, чем убытки, которые он мог бы понести в результате атаки.
Как обучить сотрудников не попадаться на удочку хакеров
Чаще всего злоумышленники получают доступ к системам компании именно через ее сотрудников, рассказывает Артем. По опыту «МегаФона», большинство работников открывают фишинговые письма и переходят по ссылкам в них. Также важно, чтобы пользователи придумывали надежные пароли и запоминали их, а не записывали.
«МегаФон» предлагает клиентам платформу Security Awareness для обучения сотрудников информационной безопасности. На платформе есть курсы, которые структурированы по блокам, например «Что будет, если хакер подберет пароль к корпоративной учетной записи?» Там же объясняются алгоритмы создания надежного пароля, а полученные знания проверяют тестами.
Чтобы успешно пройти обучение, у сотрудника должна быть внутренняя мотивация: например, получить несколько дней дополнительного отпуска за прохождение всех курсов. Компания должна стимулировать сотрудников, чтобы они обучались и обучали своих коллег.
Что такое антифрод и для чего это банкам
Услуги антифрода — это уникальная разработка «МегаФона», которая предоставляется банкам. Когда злоумышленники пользуются подменой своего номера на короткий номер банка и звонят под видом сотрудника системы безопасности, трафик проходит через провайдера. Каждый звонок анализируется, поэтому можно определить, откуда он исходит и была ли подмена номера. Если звонок подозрительный, он даже не доходит до клиента банка. Антифрод — это договоренность между банком и провайдером, подкрепленная техническими средствами, о том, что звонки с короткого номера можно совершать только с определенного пула номеров, а все остальное — мошенники.
От чего придется защищаться в будущем
По мнению Артема Мелехина, есть три направления, которые злоумышленники будут осваивать в будущем:
- Атаки на устройства удаленных сотрудников.
- Массивные атаки на IoT-устройства: не только умные холодильники и кофеварки, но и, например, системы мониторинга жизнедеятельности города.
- Будет еще больше атак с шифровальщиками, поскольку такой вирус — это простой способ получить выкуп.