Разделы

Безопасность Бизнес

Программы-шифровальщики атакуют: как усилить оборону?

Количество вирусов и вредоносных программ растет с каждым днем. Перед бизнесом остро стоит вопрос формирования эффективной многоуровневой эшелонированной защиты информации от киберугроз. Сергей Смелов, технический консультант компании Ivanti, которая в начале 2017 г. объединила под своим именем бренды LANDESK, Heat Software, Shavlik, Lumension, AppSense, Xtraction, в своей статье для CNews рассказывает о наиболее актуальных сегодня угрозах и мероприятиях по защите информации.

Современные антивирусные решения предлагают новые методы анализа и определения угроз в том числе на основе поведенческой модели, однако основным критерием обнаружения вредоносных программ для таких решений по-прежнему остается наличие «зловреда» в базе сигнатур. Очевидно, что использование только средств классической антивирусной защиты в ответ на современные угрозы уже недостаточно. Только совокупность технических и организационных мер может понизить риски несанкционированного доступа к информации.

Программы-шифровальщики наступают

Согласно оценкам специалистов Privacy Rights Clearinghouse, за прошедшие 2 года наблюдается двукратный рост количества киберпреступлений, связанных с использованием программ-шифровальщиков, основной целью которых является шифрование данных, находящихся на локальных и сетевых дисках организации. За восстановление доступа к данным преступники зачастую требуют внушительные суммы, после получения которых обещают предоставить код для разблокировки информации. По оценкам экспертов, после перечисления средств преступникам лишь в 30% случаев компании получают код для разблокировки информации.

Ситуация осложняется еще и тем, что, согласно отчету DBIR 2016 от компании Verzion, в 93% случаев шифрование данных производится в течение нескольких минут после запуска вредоносного кода и, в зависимости от структуры сети, зашифрованным может оказаться до 100% информации организации. Вредоносная программа не маскируется и не ждет часа «х», а приступает к шифрованию данных немедленно. Именно по этой причине данный вид атак может считаться одним из наиболее опасных. Сегодня существует целая индустрия, основной целью которой является распространение программ-шифровальщиков и вымогательство денежных средств после успешно проведенной атаки. Это явление было классифицировано как новый вид незаконной деятельности – RaaS (Ransom as a Service – «выкуп как услуга»).

Для запуска программы-шифровальщика злоумышленники обманным путем заставляют жертву запустить на своем компьютере вредоносную программу, которая, как правило, не требует наличия прав локального администратора – запуск программы производится от имени обычного пользователя. Программа шифрует информацию на всех ресурсах, к которым есть сетевой доступ, начиная от данных на локальной станции пользователя, заканчивая сетевым дисками и информацией на системах хранения данных уровня организации в целом.

Можно выделить два наиболее распространенных механизма доставки вредоносных программ: скачивание вредоносной программы с зараженного или поддельного сайта и получение пользователем фишингового (поддельного) письма с вредоносным вложением или ссылкой, при переходе по которой автоматически скачивается и запускается приложение.

Злоумышленники — не абстрактные самоучки-одиночки, а зачастую хорошо организованные преступные сообщества с четко выверенными ролями и задачами. За проработку содержимого фишинговых писем могут отвечать отдельные люди, которые достаточно неплохо владеют навыками в области психологии и социальной инженерии. Их основная задача – заставить пользователя открыть вложение в почте или перейти на сайт, содержащий вредоносный код. Печальная статистика, но по данным исследования, проведенного специалистами компании Verizon RISK, в 2016 г. 30% получателей писем в компании открыли их и 12% запустили вложенные к письму файлы. Достаточно хотя бы одного запуска вредоносного вложения, чтобы считать атаку успешной.

Другое исследование, проведенное специалистами аналитического отдела X-Force компании IBM, сообщает, что 70% компаний платят деньги за восстановление доступа к своим данным. По оценкам экспертов, доход в индустрии шифровальщиков за 2016 г. составил $1 млрд. Эти данные учитывают только те случаи, когда компании сообщили в правоохранительные органы о факте вымогательства денежных средств.

Для сравнения, компания с аналогичной доходностью легко бы расположилась в рейтинге 200 крупнейших компаний России по версии Forbes. Не правда ли, впечатляющий масштаб? К сожалению, на сегодняшний день снижения показателей в данном сегменте не предвидится. Злоумышленники регулярно изобретают новые методы атаки и не собираются останавливаться. Согласно данным отчета Forrester Wave 2016, корпоративные (42%) и личные (40%) устройства занимают вторую и третью позиции списка устройств, успешно атакованных злоумышленниками. Таким образом, защита корпоративных и личных устройств от программ-шифровальщиков является одной из наиболее актуальных задач на сегодняшний день.

Объекты инфраструктуры, подвергавшиеся атакам

Источник: Forrester Wave, 2016


Отсутствие регулярной практики установки обновлений

Может показаться удивительным, но зачастую это достаточно типичная картина для организации: информация об уязвимости была опубликована год или два назад, обновление, закрывающее брешь, выпущено компанией-разработчиком, но на компьютерах пользователей оно отсутствует. К сожалению, это достаточно распространенная практика. Согласно данным National Vulnerability Database, 86% от общего количества найденных уязвимостей были обнаружены в стороннем программном обеспечении. Отсутствие целостного подхода в области управления обновлениями системного и прикладного программного обеспечения несет в себе дополнительные риски, которые стоит учитывать, наличие такого подхода эти риски снижает.

Безусловно, управление обновлениями (Patch Management) не является панацеей, однако введение данных практик в регламент обслуживания позволяет существенно снизить риски финансовых потерь от атак злоумышленников с использованием известных уязвимостей.

Когда мы говорим о процессе управления обновлениями, важно отметить значимость комплексного подхода: возможность проводить регулярный поиск лишь половина дела, автоматизированное развертывание отсутствующих обновлений не менее важно, чем знание о наличии брешей в инфраструктуре. Мы рекомендуем ознакомиться с лучшими практиками по управлению обновлениями, автоматизации процесса выявления и устранения найденных уязвимостей, чтобы быстрее реагировать на возникающие угрозы. 

Согласно данным отчета Data Breach Investigations Report (DBIR 2015) от компании Verizon, 99,9% эксплойтов, которые были использованы при совершении атак, находились в базе данных известных уязвимостей CVE уже год и более.

Еще один интересный показатель в аналогичном отчете, за 2016 г.: график ниже демонстрирует разницу между новыми (открытыми) эксплойтами и уязвимостями, для которых были выпущены обновления. При расположении графика выше значения 0, количество новых уязвимостей превышает количество, для которых уже доступны обновления. 

Если же график находится ниже значения 0, баланс обращается в вашу пользу. Другими словами, отсутствие практики регулярной установки обновлений лишь увеличивает счет в пользу злоумышленников, позволяя таким образом использовать большее количество различных эксплойтов для успешной реализации атак.

Недавняя атака, проведенная с использованием вируса-шифровальщика WannaCrypt, который для распространения использовал уязвимость в операционной системе CVE-2017-0145, лишний раз подтверждает необходимость системного подхода в области управления обновлениями.

Разница между новыми (открытыми) эксплойтами и уязвимостями

Источник: Data Breach Investigations Report (DBIR 2016)


Управление приложениями и контроль доступа внешних устройств

Для оценки необходимости реализации следующего этапа мы рассмотрим вопросы, связанные с контролем запуска приложений и доступом к внешним устройствам. Какие опасности таит в себе неконтролируемый запуск приложений? 

Рекомендации и практики в области защиты информации: 


  • контроль запуска приложений; 
  • создание и управление списками приложений, как белыми – авторизованными для работы, так и черными – неавторизованными; 
  • управление доступом при работе со сменными носителями информации; 
  • предоставление минимально необходимых прав доступа в системе;
  • блокировка доступа для неавторизованных устройств.

Важно понимать, что даже при отсутствии прав локального администратора, у злоумышленников остаётся масса способов нанести ущерб. Большое количество вредоносных приложений работают, используя сессию пользователя, не имеющего административного доступа к системе. 

Для примера рассмотрим процесс контроля запуска приложений. В теории все выглядит достаточно структурированно и понятно, но как дела обстоят на практике? Каждый исполняемый файл в составе списка должен иметь контрольную сумму для возможности достоверной идентификации, а любое изменение списков должно быть согласованным в соответствии с внутренним регламентом. Представим, что в компании конфигурации операционных систем и установленных программ разделены на несколько условных групп: отдел кадров, бухгалтерия, стандартные пользователи, руководство, разработчики и сотрудники ИТ. Сколько времени может потребоваться на внесение изменений при обновлении драйверов или установке новых версий программ? Проблема обслуживания белых списков, а также человеческий фактор играют существенную роль при рассмотрении данного вопроса. 

Владимир Залеский, управляющий партнер FIS: Low-code должен быть настоящим лоу-кодом
Маркет

Основную сложность при внедрении средств управления приложениями составляет непосредственное создание и поддержание в актуальном состоянии этих списков. Например, в компании с количеством различных функциональных групп пользователей от 5 и выше, обслуживание таких списков может потребовать значительных ресурсов со стороны отдела информационных технологий и службы информационной безопасности.

Несмотря на сложности при реализации данного подхода, эффект от его внедрения позволит обеспечить контроль устанавливаемых и запускаемых приложений, проанализировать статистику использования и провести оптимизацию, удалив лишнее. Для снижения влияния на бизнес процесс рекомендуется разделить на несколько этапов, для более точного определения проблемных мест, поиска причин и их устранения. 

Что же касается рисков, связанных с использованием сменных носителей, то они выражаются в следующем: финансовый ущерб от заражения компьютеров вредоносной программой, повлекшего частичный или полный отказ в работе информационных систем или доступе к корпоративным ресурсам; финансовый ущерб, связанный с утечкой служебной информации или информации, представляющей коммерческую тайну.

Управление правами доступа

Избыточность прав доступа существенно снижает уровень защищенности вашей инфраструктуры. Никто не идеален, в том числе и сотрудники, обладающие административными правами для выполнения обязанностей, будь то поддержка пользователей или администрирование сервисов. Зачастую административный уровень доступа может выдаваться без явных на то оснований, и причин тому много, например, необходимость доступа к специфическим параметрам и настройкам, для которых требуется привилегированный доступ. 

Проблема избыточности прав доступа также связана со особенностями работы некоторых операционных систем, а также, отчасти, с исторически сложившимся путем развития информационного ландшафта организации. 

После установки и запуска приложения в операционных системах Windows производят чтение и запись данных на жесткий диск компьютера, часть этих данных является информацией, относящейся к настройкам самого приложения, часть – относится к системным данным операционной системы. Одним из примеров является конфигурационный файл, который содержит информацию о параметрах интерфейса приложений, размере используемого шрифта и цвете, и должен быть сохранен на жестком диске.

Автоматизация СВК: важные ответы на нужные вопросы
Маркет

В ранних версиях операционных систем эта информация обычно располагалась там же, где и сами приложения – исполняемые файлы. В более поздних версиях Windows, когда был добавлен механизм контроля доступа user-control, области хранения настроек приложений стали защищаться, и необходимо было обладать правами администратора для записи информации в эти разделы. Ввиду того, что таких приложений было много, возникал риск отказа запуска приложений из-за блокировки доступа к данным разделам и решение было найдено – предоставить права локального администратора в системе по умолчанию.

Разработчики операционных систем хотели минимизировать возможные проблемы доступа в будущем, поэтому права локального администратора назначались в ходе установки системы автоматически. 

Это оставило соответствующий след в разработке приложений. Разработчики программ считали, что раз отдельные учетные записи могут читать и записывать информацию в такие «защищенные» разделы (ведь эти учетные записи обладали правами локальных администраторов), то и все остальные учетные записи тоже имеют доступ к таким разделам. В результате это привело к тому, что для запуска программы требовались права локального администратора. 

В настоящее время большая часть программ была адаптирована, но существует достаточно много приложений, для работы которых необходим административный уровень доступа. Не стоит забывать и о веб-приложениях, для работы с которыми часто требуется установка соответствующих плагинов. 

Набор мер для повышения уровня защиты от киберугроз: 


  • регулярная установка обновлений для операционных систем и сторонних программ; 
  • контроль доступа при использовании внешних носителей информации; 
  • контроль запуска и установки приложений; 
  • управление привилегиями, сокращение административных учетных записей; 
  • защита от программ-шифровальщиков.

Заметим, что основная цель процесса управления привилегиями – это сбор информации по имеющимся правам доступа, оценка целесообразности выдачи административных прав и минимизация количества учетных записей, обладающих привилегированным уровнем доступа за счет предоставления специфичного уровня к соответствующим функциям и параметрам. 

Безусловно, административный доступ может и должен выдаваться, в том числе, такую возможность можно представить самим сотрудникам через возможность самостоятельного повышения прав доступа, но это должен быть контролируемый координированный процесс.

Сергей Смелов,

Технический консультант компании Ivanti

CNews Forum 2024 CNews Forum 2024

erid:

Рекламодатель:

ИНН/ОГРН:

byteoilgas_conf 2024 byteoilgas_conf 2024

erid:

Рекламодатель:

ИНН/ОГРН:

LANSOFT: время комплексных бизнес-решений LANSOFT: время комплексных бизнес-решений

erid:

Рекламодатель:

ИНН/ОГРН:

Orion Digital Day Orion Digital Day

erid:

Рекламодатель:

ИНН/ОГРН:

ELMA DAY ELMA DAY

erid:

Рекламодатель:

ИНН/ОГРН: