Последние кибератаки с использованием вредоносного программного обеспечения, требующего выкуп за доступ к информации, привели к глобальному параличу многих организаций по всему миру.
Шаги преступника на отдельных этапах кибератаки
-
Разведка
Время: от месяца до обнаружения атаки
Злоумышленник начинает деятельность со сбора информации о компании с портала LinkedIn или корпоративного сайта. Приобретает также планы здания, а также знания о системах безопасности и точках доступа. Иногда решает посетить штаб-квартиру компании (например, во время большого события) или проводит «местную разведку», поболтав с секретаршей.
Разведка опирается также на автоматические действия, направленные на сканирование сети и обнаружение незащищенных устройств для заражения. Это касается всех платформ, и всё больше устройств категории Интернет вещей (IoT).
Когда злоумышленник получает необходимую информацию, он переходит к выбору «оружия». Это может быть использование уязвимостей в программном обеспечении (exploit), отправка поддельных писем (фишинг) и даже попытка подкупа одного из сотрудников. На этом этапе влияние на функционирование бизнеса минимальное, но злоумышленник уже знает, как может дальше действовать.
-
Взлом
Время: от месяца до обнаружения атаки
На втором этапе злоумышленник пытается взломать корпоративную систему компании, откуда сможете проводить попытки атаки.
Эти действия могут основываться на фишинге с целью получения данных для входа, а затем внедрение инструментов, которые позволят проникнуть в сеть. Чаще всего такие попытки не удается отследить. Нет также уверенности в том, что данная компания является конечной целью, а не одной из многих организаций, пострадавших от массированной атаки.
-
Распространение инфекции
Время: несколько месяцев или недель до обнаружения атаки
Когда злоумышленник получает доступ к внутренним сетевым ресурсам, то пытается взломать системы и учетные записи пользователей. Целью является дальнейшее расширение присутствия, отображение сети, поиск файлов и паролей, чтобы выявить ключевые данные. Злоумышленник, чаще всего, маскируется под авторизованного пользователя, поэтому его действия очень трудно обнаружить.
-
Эскалация привилегий
Время: несколько недель или дней до обнаружения атаки
Злоумышленник уже имеет соответствующий уровень доступа (благодаря полученным ранее данным для входа в систему), чтобы реализовать поставленные цели.
На этом этапе атакующий достигает целевых данных. Это могут быть, например, почтовые серверы, системы управления документами, а также данные клиентов.
-
Выполнение миссии
Время: «Нулевой день»
Злоумышленник получает конфиденциальные данные клиентов, нарушает работу важных систем и искажает бизнес-операции. На последнем этапе он запускает программы, чтобы избавиться от всех улик и замести следы своих предыдущих действий.
Убытки, понесенные компанией, увеличиваются, если распространение инфекции не будет вовремя остановлено.
Как уберечь организацию от кибератаки
В используемом примере цель была достигнута путём обнаружения уязвимости в системе безопасности. К сожалению, это типичная ситуация. Если кража данных происходит при помощи известных в компании инструментов и данных для входа в систему, выявить такие атаки чрезвычайно трудно.
Наилучшую защиту обеспечивает внедрение системы обнаружения нарушений безопасности.
Стоит также придерживаться основных правил, чтобы свести к минимуму риск возникновения кибератаки:
- проводить тестирование на проникновение и рассматривать это в качестве опыта для подготовки и усиления системы;
- обучать сотрудников, чтобы они были неуязвимы к социальной инженерии;
- укрепить внутреннюю сеть, чтобы можно было достаточно быстро обнаружить и побороть заражение;
- увеличить степень физической безопасности, препятствовать проникновению в пространство офиса;
- защитить оборудование, особенно мобильные устройства.
