Точка зрения

Вирус Petya - лишь один из возможных векторов кибератак

Специалисты по кибербезопасности компании «Делойт» о базовых требованиях и комплексном подходе к защите информации

27 июня 2017 года, ровно через полтора месяца после масштабной атаки вируса-шифровальщика WannaCry, была зарегистрирована новая атака с использованием вредоносного программного обеспечения шифровальщика Petya (или Nyetya, как в дальнейшем было идентифицировано данное ПО в связи с определенными отличиями от первоначального варианта). География поражения Petya/Nyetya не была ограничена отдельными странами – в течение суток заражение распространилось по всему миру и, судя по карте, которую опубликовали 28 июня специалисты McAfee, больше всего пострадали США.

Принцип действия Petya/Nyetya основан на заражении главной загрузочной записи (MBR) жесткого диска и, далее, шифровании данных на нем. После удачного шифрования на экран выводится окно с сообщением, о требовании заплатить выкуп в размере $300 в специальной криптовалюте – биткоинах.

Однако сейчас уже практически со 100% вероятностью можно утверждать, что требование оплаты $300 за расшифровку данных было приманкой для СМИ и являлось маскировкой под криминальную активность крипто-вымогателей. По факту цель финансового обогащения не преследовалась, предоставление информации для расшифровки данных не планировалось. Petya/Nyetya по сути представляет из себя атаку типа «Отказ в обслуживании» (DoS) – массовое выведение компьютерных систем из строя. С учетом того, что количество инфицированных компьютеров в мире составило не менее 500 тысяч, а пострадавшими от атаки оказались государственные и коммунальные учреждения, объекты критической инфраструктуры, мобильные операторы и банки, можно сказать, что атака, к сожалению, была крайне успешной.

Мы сейчас не будем останавливаться на функциональности, способах распространения, индикаторах компрометации и возможности отключения этого вредоносного программного обеспечения. Данная информация уже в достаточном объеме предоставлена на многочисленных сайтах вендоров, экспертов и лабораторий в области кибербезопасности. Поговорим о мерах безопасности, внедрение которых значительно усложнило бы заражение и распространение Petya/Nyetya, а именно:

1.    Проведение регулярных тренингов для сотрудников организации с целью повышения их осведомленности в вопросах кибербезопасности, основанных на демонстрации практических примеров потенциально возможных атак на инфраструктуру компании с использованием методов социальной инженерии.

2.    Внедрение эффективного процесса управления уязвимостями и обновлениями в программном обеспечении для поддержки актуальных версий ПО на всех узлах инфраструктуры организации.

3.    Применение жесткой сегментации сети к критическим элементам ИТ-инфраструктуры.

4.    Внедрение процесса управления привилегированными учетными записями, в частности локальными администраторами, администраторами домена и т.д.

Однако, как показывает опыт, при определенном стечении обстоятельств даже этого бывает недостаточно. Для максимально быстрого и безболезненного восстановления инфраструктуры после возможного инфицирования вредоносным ПО дополнительно необходимы следующие меры безопасности:

1.    Внедрение процесса резервного копирования критических данных, который основан на определенных значениях RTO (промежуток времени, в течение которого инфраструктура может оставаться недоступной в случае инцидента), RPO (максимальный период времени, за который могут быть потеряны данные в результате инцидента) и регулярного тестирования резервных копий на возможность восстановления. Следует обратить внимание, что наиболее защищенным методом хранения резервных копий является технология записи данных на удаленный носитель, так как позволяет избежать заражения резервных данных.

2.    Создание, поддержание в актуальном состоянии и регулярное тестирования плана реагирования на инциденты кибербезопасности и плана обеспечения непрерывности бизнеса. Оперативная и слаженная реакция сотрудников организации на инцидент позволит максимально быстро локализировать область поражения и минимизировать возможный ущерб от инфицирования вирусом.

К сожалению, опыт Petya/Nyetya показал, что в большинстве случаев при инфицировании даже нескольких рабочих станций новыми образцами вирусов, в скором времени вся инфраструктура организации оказывалась зараженной. Данный факт говорит о том, что в пострадавших организациях не были внедрены эффективные процессы реагирования.

Важно отметить, что атака с помощью вредоносного ПО – это всего лишь один из множества возможных векторов атаки киберпреступников. Для максимальной защиты организации от киберугроз следует применять комплексные подходы к управлению информационной безопасностью, такие как:

1.    Внедрение в организации международного стандарта в области защиты информации ISO/IEC 27001:2013, в котором собраны описания лучших мировых практик. ISO 27001:2013 устанавливает требования к системе управления информационной безопасности для эффективной защиты своих информационных ресурсов. 

2.    Внедрение стандарта в области непрерывности ISO 22301:2012, который направлен на снижение рисков прерывания бизнеса и негативных последствий таких прерываний, восстановления бизнеса до необходимого уровня в определенной последовательности и за установленные промежутки времени.

3.    Проведение внешних аудитов текущего состояния информационной безопасности, которые смогут предоставить рекомендации по устранению возможных выявленных недостатков и информацию для принятия решений по дальнейшему развитию ИТ/ИБ процессов в организации.

4.    Регулярное проведение тестов на проникновение, которые позволят оценить безопасность компьютерных систем и сетей организации средствами моделирования реальной атаки киберпреступников, оценить возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления кибератаки.

 

С заботой о Вас,
Команда «Делойт»

Did you find this useful?

Related topics