Целевые атаки: чем ваш бизнес рискует каждый день
Целевые кибератаки направлены на конкретную компанию или отрасль и гарантируют злоумышленникам в случае успеха получение ценных данных или денежной прибыли. Самыми опасными из целевых атак являются APT (advanced persistent threats) - распределенные во времени угрозы. В ходе подобной атаки хакер получает доступ к сети компании, закрепляется в ней и может находиться внутри незамеченным в течение нескольких месяцев или даже лет.
Чем опасны целевые атаки?
- Нарушением бизнес-процессов. Для возобновления штатной работы бизнеса и расследования потребуются время и дополнительные ресурсы. Если дело касается промышленных компаний и ТЭК, нарушение их работы может повлечь за собой не только убытки, но и угрозу жизни и здоровью людей. Например, после атаки шифровальщика была нарушена работа медицинской компании «Инвитро». Им пришлось временно приостановить сбор биоматериала и выдачу результатов анализов.
- Крупными финансовыми убытками. Если атакующим удастся получить доступ к банковским счетам, они смогут проводить несанкционированные транзакции. Подобный риск наиболее сильно затрагивает компании из финансового сектора.
В ходе хакерской атаки около 58 млн рублей потерял ПИР Банк. Средства были похищены с корсчета в Банке России и выведены на счета и обналичены в 22 других банках в России. - Ущербом репутации. Злоумышленники могут завладеть конфиденциальными данными клиентов и подрядчиков. Подобные инциденты угрожают имиджу компании и провоцируют массовый отток клиентов. С этим столкнулась платежная система «Юнистрим». С официального адреса компании была произведена рассылка вредоносных писем. В результате с «Юнистрим» временно остановили или разорвали сотрудничество несколько банков России и СНГ.
Как минимизировать риски
Традиционно для борьбы с целевыми атаками применялись периметровые системы с блокировкой и защита конечных точек. Постоянное развитие хакерских техник, а также массовый переход на удаленку (с «размытием» периметра и невозможностью обеспечить защитой собственные устройства сотрудников) привели к тому, что подобный подход стал недостаточным. Наиболее оптимальным сегодня является постоянный мониторинг происходящего на периметре компании и внутри сети.
- Мониторинг сетевого трафика. Анализируя сетевой трафик, можно обнаружить действия атакующих еще до того, как они успели достичь своей цели. Особенно эффективен при решении этой задачи мониторинг внутреннего трафика - с его помощью можно выявлять перемещения злоумышленников внутри сети, эксплуатацию уязвимостей ПО, попытки перемещения ценных данных за пределы периметра и другие признаки атак.
- Мониторинг файлов. Самым популярным способом атаки на сегодняшний день является применение вредоносных программ (троянов, шифровальщиков и т. д.). Комплексная проверка файлов, попадающих в инфраструктуру компании извне и передаваемых между сотрудниками, сможет помешать взломщикам провести атаку.
- Анализ исторических данных. Базы знаний в средствах защиты пополняются данными о новых угрозах с задержкой. Для того, чтобы ни одна атака не осталась незамеченной, необходимо регулярно проводить ретроспективный анализ и перепроверять сетевой трафик и попавшие в инфраструктуру файлы - уже с обновленными базами.
Хочу бесплатный пилот решения
