16+
Пятница, 9 декабря 2016
  • BRENT $ 54.28 / ₽ 3424
  • RTS1100.75
26 мая 2016, 14:39 Технологии

Ваш бизнес наверняка уже взломан

Чтобы организовать направленную атаку, злоумышленники используют стратегию скрытого проникновения в IT-инфраструктуру организации и собирают информацию о компании, ничем себя не выдавая. Можно ли распознать скрытую угрозу, рассказывает эксперт из Лаборатории Касперского Олег Глебов

Фото: PhotoXPress

Самое опасное в профессиональных атаках на IT-инфраструктуру — то, что, успешно проникнув за периметр вашей защиты, злоумышленники долгое время могут оставаться незамеченными. Средний срок от момента проникновения до обнаружения составляет в среднем 200 дней. Но в некоторых случаях невидимый враг может сидеть в системе годами. Руководству компании остается только недоумевать — откуда конкуренты узнают об их планах, как им удается переманивать самых выгодных клиентов? И при этом нельзя сказать, что защите системы бизнес не уделяет внимания. О том, можно ли распознать угрозу в таком случае и как минимизировать последствия, мы спросили у руководителя направления по противодействию направленным атакам Лаборатории Касперского Олега Глебова.

Так как же удается злоумышленникам проникать за линии обороны? Что такое направленная атака?
Олег Глебов: Направленная атака — это процесс, состоящий из разных этапов, и очень важное внимание злоумышленники отдают первому этапу этого процесса — сбору информации. Собрав большое количество доступной информации о компании в Интернете, они делают правильную стратегию проникновения исключительно под конкретный бизнес конкретной организации. И тем самым эта атака очень сильно выделяется на общем фоне остальных распространенных атак.
Как оценить ущерб от «успешной» атаки, особенно если это — процесс, который может длиться месяцами? Если посчитать все потери — прямые и косвенные, сумма может получиться внушительная.
Олег Глебов: В среднем можно говорить по статистике Лаборатории Касперского на реальных случаях расследования целенаправленных атак, что для небольшой организации потенциальная — даже реальная потеря составляет от 80 000 долларов от одной атаки. Для крупной организации это может быть 2,5 миллиона долларов и более. И здесь очень важно понимать, что мы говорим не только о рисках лояльности клиентов, связанных с судебными разбирательствами, но очень важным становится момент — что делать после атаки? Когда деньги уже потеряны, данные потеряны либо изменены. Нужно менять системы, нужно обучать сотрудников, возможно, увеличить службу информационной безопасности. И когда мы говорим об этом, то становится понятно, что да, миллионы там действительно кроются.
Если атак нет, значит, все нормально?
Олег Глебов: Мы рекомендуем любой компании исходить из предположения, что периметр уже прорван. Отсутствие внешних признаков атаки может лишь говорить о том, что злоумышленники стараются не афишировать своего присутствия в вашей сети.

Т.к. злоумышленники стараются не автоматизировать все свои этапы, а действуют вручную, они очень легко прячутся в нормальных активностях пользователей — ничего не нарушают, ничего не делают деструктивного, когда это не нужно. И это сокрытие позволяет им оставаться полностью незамеченными как для средств традиционной информационной безопасности, так и для организационных мер, которые внедряют службы информационной безопасности.

То есть обычных традиционных средств защиты, которые используют дисциплинированные системные администраторы, уже недостаточно, если речь идет о продуманной атаке, направленной именно на конкретный бизнес?
Олег Глебов: Каждая организация сегодня может формально оценивать риск того, что сегодня она уже взломана. Потому что бизнес злоумышленников сегодня диверсифицирован. Одни отвечают за проникновение, возможно, даже за найм инсайдеров в организациях, другие — за программирование, за создание «вредоносов», а третьи — за создание комплексной стратегии, как это использовать. Поэтому организация может быть уже взломана, никакой активности нет, но на черном рынке продается доступ к инфраструктуре этой организации. И когда кто-то купит — не сегодня, может быть, через месяц — тогда начнется что-то плохое. Но возможность найти этот факт первичного проникновения — очень важная ступень в организации информационной безопасности, чтобы обнаружить плохое до того, как что-то действительно деструктивное произошло. Прежде всего, мы помогаем понять, как правильно построить процесс, как выявить уязвимости, как выявить следы проникновения. Мы можем научить сотрудников информационной безопасности — в том числе, как правильно это делать самим в дальнейшем, когда Лаборатория Касперского, например, уйдет из организации, уйдет из инфраструктуры. Здесь важным моментом становится правильно собрать всю информацию, правильно ее проанализировать и предоставить отчет не только IT, но и бизнесу, чтобы они поняли, что происходит и насколько это критично для них.
Вопросы информационной безопасности в этом случае уже попадают под ведение высшего руководства?
Олег Глебов: Сегодня в условиях экономической ситуации существование бизнеса — это важнейший элемент работы топ-менеджмента, и наряду с основными задачами, которые стоят перед ними, главнейшей становится обеспечение информационной безопасности, потому что риски от любого инцидента достаточно велики. И поэтому делегирование принятия решения об инцидентах об информационной безопасности только на службу информационной безопасности — это неправильный подход. Сегодня этот риск стоит гораздо выше, и он должен быть на стороне топ-менеджмента и, возможно, даже владельцев организации.
Так есть ли решение проблем направленных атак? Какой-то волшебный файрвол, который защитит бизнес?
Олег Глебов: Вопрос стоит не только о защите. Скорее — об обнаружении целенаправленной атаки, потому что, возможно, она уже там. Очень важным моментом становится принятие того факта, что злоумышленники что-то уже возможно делают. И нужно иметь не только систему или серебряную пулю против всех проблем. Система не поможет. Нет у нас искусственного интеллекта, который бы смог защититься от интеллектуального злоумышленника. Нужна стратегия. И здесь Лаборатория Касперского поможет правильно оценить, достаточно ли средств. Как правильно повысить уровень обеспечения информационной безопасности соразмерно угрозам и актуальным рискам.

Рекомендуем:

Актуальные темы:

Фотоистории