Согласно исследованиям nexustek, прежде чем вдаваться в подробности, сначала следует признать, что никому — частному лицу или компании — не нравится, если их «ставят в пример». Но ещё меньше понравится кому-либо оказаться жертвой кибер-атаки. Это станет болезненно по целому ряду причин, не последней из которых станет стигматизация, связанная с утечкой важных/личных данных.
Цель статьи — не обвинения и укоры, а анализ и передача ценного опыта, которые уже получены другими компаниями, а потому немаловажна станет способность извлечь урок из этих реальных инцидентов.
Ситуация 1: проблемы нашего веб-браузера при его вредоносном обновлении.
Крупная страховая компания стала жертвой атаки программ-вымогателей, которая началась со схемы социальной инженерии. Злоумышленники создали фальшивое обновление веб-браузера, которое было предложено через легитимный веб-сайт, и после успешного обмана одного из сотрудников, заставившего его нажать на фальшивое обновление, удалось взломать компьютер этого сотрудника.
Далее злоумышленники получили возможность перемещаться по системам компании, попутно отключая инструменты мониторинга безопасности, удаляя резервные копии и повсеместно шифруя данные. В результате удовлетворяя требованиям злоумышленников - компания заплатила 40 миллионов долларов за получение ключа дешифрования и для устранения угрозы публичного раскрытия украденных конфиденциальных данных сотрудников.
Какой урок следует вынести:
- Как и во многих кибератаках, данная подчеркивает важность обучения сотрудников вопросам безопасности, поскольку простая ошибка сотрудника открывает дверь для серьезной проблемы и риска утечки данных.
- Еще один ключевой момент заключается в том, что перед тем, как запустить атаку программы-вымогателя в полном объеме, злоумышленники обнаружили и уничтожили резервные копии. Это иллюстрирует важность обеспечения непрерывности и стратегий аварийного восстановления, включающих создание удаленных резервных копий данных, к которым злоумышленники не могут получить доступ из сети компании. Например физические накопители, флешкарты.
Ситуация 2: Атака программ-вымогателей.
Следующий инцидент кибербезопасности был связан с компнанией в сфере гостиничного бизнеса, в которой работало около 3000 человек.
В составе компании несколько музыкальных площадок, рестораны и отели на северо-западе Тихого океана. Однажды сотрудники компании обнаружили, что не могут получить доступ к цифровым файлам, в результате заражения вредоносным ПО. Как только заметили проблему, в компании отключили все ключевые системы, чтобы предотвратить дальнейшее развитие атаки. Непосредственным результатом атаки стало то, что они не могли использовать какие-либо торговые точки, а онлайн-доступ к таким функциям, как бронирование номеров, был заблокирован.
Но долгосрочные проблемы стали ещё более серьезными, поскольку последующее расследование показало, что злоумышленники получили доступ к конфиденциальной информации сотрудников (например, номерам социального страхования), которая может быть использована для кражи личных данных. Это оказались тысячи записей о сотрудниках за десятилетия работы компании. Вдобавок к этому, сотрудники подали коллективный иск против компании, утверждая, что недостаточные меры кибербезопасности привели к атаке программы-вымогателя.
Какой урок следует вынести:
- Время простоя, с которым столкнулась компания, является распространенным побочным эффектом кибератак, что демонстрирует важность заблаговременного планирования стратегий обеспечения непрерывности бизнеса, чтобы гарантировать, что критически важная инфраструктура останется работоспособной в кризисной ситуации.
- Хотя отчеты на сегодняшний день не объясняют основную причину этой атаки программы-вымогателя, этот случай ясно показывает, что судебные иски после атаки — это реальность. В таких случаях важно иметь возможность проявить должную осмотрительность для защиты конфиденциальных данных до того, как произойдет атака. Проведение оценок рисков кибербезопасности и использование многоуровневой стратегии кибербезопасности, которая устраняет угрозы с разных точек зрения, являются полезными стратегиями для достижения этой цели.
- Оценки управления рисками кибербезопасности также могут быть полезны для получения права на киберстрахование, которое может помочь с деловыми и юридическими расходами, связанными с кибератаками.
Ситуация 3: Целевой фишинг/компрометация деловой электронной почты.
В мире все более изощренных кибератак, основанных на технологиях, можно не заметить и более простых кибер-мошенничества. Однако они все еще используются и по-прежнему представляют реальную угрозу. В качестве примера рассмотрим компрометацию деловой электронной почты (BEC), которая произошла с небольшой строительной компанией.
Компания получила электронное письмо от того, кто, по их мнению, был одним из их подрядчиков. В электронном письме говорилось, что у них возникли проблемы с получением платежей, и предлагалось отправить платеж на другой адрес. Чего компания не заметила, так это того, что адрес электронной почты отправителя был подделан, а это означало, что он был очень похож на реальный адрес электронной почты подрядчика с небольшими отличиями. К сожалению, строительная компания заплатила злоумышленникам, прежде чем узнала, что запрос не был законным.
Какой урок следует вынести:
- Обучение сотрудников и самообразование в вопросах безопасности на регулярной основе имеет первостепенное значение. Поддельные адреса электронной почты используют практически незаметные подстановки, чтобы их было легко пропустить, поэтому сотрудники должны быть осведомлены об этой угрозе, чтобы убедиться, что она не останется незамеченной.
- Если электронные письма вызывают подозрения, следует обратиться напрямую (не отвечайте на электронное письмо) к предполагаемому отправителю для проверки.
Это всего лишь несколько реальных примеров, которые по-разному обошлись пострадавшим предприятиям очень дорого. Взятые вместе, эти истории иллюстрируют важность защиты доступа к вашим системам и данным с помощью стратегий, варьирующихся от обучения сотрудников до политики надежных паролей и многофакторной аутентификации.
Если злоумышленники преодолевают эти барьеры, способные обнаружить вредоносную активность и ограничить доступ в вашей сети (например, SIEM, IAM), очень важно заметить и своевременно отреагировать должным образом на действия злоумышленников. Наконец, обеспечение отказоустойчивости систем важны для обеспечения непрерывной работы и сохранения резервных копий.
