Cybersecurity vs WannaCry

Опубликовано: 19 мая 2017 г.


В СМИ не утихают волнения, связанные с беспрецедентным распространением вируса. Рассчитывая на широкую аудиторию, информационные источники ищут того, кто за этим стоит. Появляются всё новые сообщения о дальнейшем распространении вируса и волнах заражения. Это создаёт повод задуматься, а не окажусь ли я очередной жертвой «WannaCry»?

Факторы распространения

Вирус «WannaCry» – не принципиально новое создание, принцип работы и структура взаимодействия стандартна для такого рода сетевых червей. На широкое распространение повлияло несколько факторов.

Первое – использование практик, применяемых для создания вирусов. Они разрабатывались долгое время, а работоспособность оценивалась количеством заражённых компьютеров и приносимой злоумышленникам прибылью. Эти практики получили популярные названия: бот-сеть, DDos, блокировщик, шифровальщик.

Второе – детальное описание создания данного вида вируса, со ссылками на используемые части кода и скрипты.

Третье – пренебрежение политиками информационной безопасности компаниями и частными лицами. Использование программных продуктов и установка обновлений происходят без учёта основ информационной безопасности. Программы устанавливаются, не взирая на лицензионные ограничения, что зачастую сопровождается дополнительной установкой программы-взломщика. Обновления программы отключаются. Разрыв во времени между тем, как информация об уязвимости становится общедоступна, и тем, как эта информация будет использована конечным пользователем, создаёт условия для тестирования и применения вирусов

Угроза вируса «WannaCry» вряд ли покажется незначительной. По сообщениям, вымогатели требуют выкуп $600. К тому же, оплатив эту сумму, нет никакой гарантии, что данные восстановятся и не попадут к третьим лицам.

Что значит для бизнеса выключение из рабочего процесса части сотрудников, потеря критичной информации и утечка к конкурентам? Сотрудник по информационной безопасности понимает уровень рисков? Обладает достаточной компетенцией?

Статистика

Насколько важны эти вопросы видно из статистики:

В 2015 г. экономика России потеряла из-за действий киберпреступников ₽203,3 млрд, утверждается в отчете, составленном Group-IB, Фондом развития интернет-инициатив и Microsoft. «В то время как в мире в 2015 году был легкий спад количества инцидентов ИБ (на 3%) и связанных с ними финансовых потерь (на 10-15%), в России ситуация ухудшилась: количество инцидентов возросло более чем в 2 раза, средний ущерб от инцидента ИБ увеличился в 1,5 раза», – комментирует Евгений Сачков, старший аудитор отдела безопасности банковских систем компании «Информзащита».

По данным «Лаборатории Касперского», в среднем ущерб от одного инцидента информационной безопасности для крупных российских компаний составляет ₽11 млн, а для СМБ-сектора — ₽1,6 млн. «С весны 2015 по весну 2016 года жертвой того или иного киберинцидента стала практически каждая российская организация. Более половины пострадали от неправомерного использования ИТ-ресурсов сотрудниками либо проникновения в корпоративные сети вредоносного ПО, что привело к снижению производительности бизнеса», – рассказывает Сергей Земков, управляющий директор «Лаборатории Касперского» в России, странах Закавказья и Средней Азии.

Меры предотвращения

Одним из предложений на рынке для полного предотвращения подобных угроз является разработка комплекса мер по обеспечению информационной безопасности. Недостатком такого метода является его дороговизна.

Достичь необходимого и достаточного уровня обеспечения информационной безопасности можно меньшими средствами.

И первое, что необходимо сделать – это провести анализ текущего положения. Зачем вкладываться в предотвращение или опасаться рисков, если их нет.

Полноценный анализ даст понять, как обезопасить свою компанию меньшими средствами от основных рисков связанных с IT, в том числе и от проникновения. Для наглядности можно рассмотреть пример с «WannaCry».

Принцип работы подобных червей состоит из трёх шагов:

  1. использование уязвимости ПК для внедрения вредоносного кода;
  2. исполнение вредоносного кода для удалённого управления ПК и процессами;
  3. достижение поставленных целей с помощью ресурсов ПК.
В случае с «WannaCry», п.1 – это уязвимость функциональной возможности сетей Microsoft по предоставлению удалённого доступа к принтерам, файлам и пр. Она по умолчанию включена на ПК, но её работа ограничивается периметром сети или подсети. Если доступ с внешней стороны закрыт, то и воспользоваться уязвимостью невозможно. В компаниях устанавливается множество программ на границе доступа во внутреннюю сеть, которые по умолчанию эту функциональность блокируют.

Компания Microsoft за месяц до того, как стало общеизвестно о данной уязвимости, выпустила обновление по решению проблемы. Поэтому вовремя обновляющиеся компьютеры не столкнулись с вирусом.

Любой код при исполнении создаёт процесс в системе. Если пользователю разрешена установка программного обеспечения на ПК, среди разнородных процессов отследить вредоносный – задача сложная. При этом, если вы точно знаете, какие программы установлены на ПК, обнаружение вредоносного процесса происходит в автоматическом режиме.

Исполняющийся вредоносный код обменивается сообщениями с сетью, что позволяет отследить, куда направляются данные сообщения и каким процессом. Чёткий список процессов, которым разрешена отправка сообщений, поможет выявить среди них вирусные и заблокировать.

Описанные аспекты – основа для решения вопросов информационной безопасности. Само решение требует детальных знаний об уставленных программах, обновлениях, актуальных версиях программных продуктов.

Из практики

Опыт ведения проектов по управлению программными активами познакомил нас с множеством компаний, где установлено программное обеспечение, которое не используется, не обновляется или установлено из неоригинального дистрибутива. В таких компаниях часто отсутствует информация о каждом компьютере, перечне и лицензиях установленного ПО, правах пользователя и т.д.

Встречаются и такие компании, где разработаны необходимые процедуры, ведётся учёт, выстроены процессы управления программными активами, но при тщательной проверке, всё это оказывается только формальностью.

Чем поможет SAM Cybersecurity

Чтобы исключить подобные проблемы, проверить исполнение основ информационной безопасности, сделать первый шаг к выстраиванию процессов управления программными активами разработан проект SAM Cybersecurity.

SAM Cybersecurity – проект по управлению программными активами с ориентацией на оценку уровня кибербезопасности.

Его реализация даст чёткое понимание наличия и уровня рисков, отношение специалистов IT отдела к информационной безопасности. В результате вы получите знания об ИТ-инфраструктуре, полную и проверенную информацию по инсталлированным продуктам, версиям, сервис пакам (SP), лицензиям и источникам дистрибутивов.

Вы узнаете о наличии:

Рискованного ПО – устаревшего и снятого с поддержки

Такое ПО больше всего уязвимо для атак злоумышленников. Современные средства кибератак развиваются столь же стремительно, как и новые версии программного обеспечения. Это похоже на гонку вооружений: выигрывает тот, кто опередит противника. Поэтому важно использовать в инфраструктуре современное ПО, для которого производитель своевременно выпускает Service Pack.

Нецелевого ПО

Мы сталкиваемся с инсталляциями клиентов Torrent, сетевых игр, кулинарных рецептов, экзаменов ПДД, электронных энциклопедий и много другого. Установка данных программ свидетельствует о локальных административных правах пользователей и отсутствии контроля за развертыванием ПО. А скачивание дистрибутивов из непроверенных, ненадежных источников неминуемо приводит к заражению сети.

Уязвимых машин

Определение машин без антивирусов или других средств защиты от вредоносных программ. Такие устройства не получают автоматических обновлений, что несет за собой огромные риски.

ИТ- И ИБ-процессов

Проект SAM оценивает состояние процессов, связанных с ИБ в организации. Решение базируется на международном своде рекомендаций SANS 20 (20 основных средств обеспечения безопасности, SANS 20 Critical Security Controls) для усовершенствования кибербезопасности.

SAM имеет серьезное значение для построения и контроля кибербезопасности. При этом функции SAM редко входят в зону ответственности подразделения ИБ, именно поэтому SAM предоставляет информацию в другом ракурсе. Киберугрозы, как болезни, легче предотвратить, чем потом лечить. Начните профилактику с проекта SAM Cybersecurity прямо сейчас!