rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

WannaCry как урок по информационной безопасности

По данным «Лаборатории Касперского», сегодня в среднем каждые 40 секунд компании сталкиваются с попытками атак программ-вымогателей. Эта категория вредоносного ПО уже давно заняла верхние строчки самых актуальных угроз для бизнеса. И недавняя масштабная волна атак шифровальщика WannaCry лишь подтверждает эту тенденцию – за считанные дни и часы зловред смог поработить тысячи корпоративных устройств. Скорость, с которой шифровальщик распространился по миру, впечатляет даже «видавших виды» экспертов. Однако это говорит не столько об уникальных способностях зловреда, сколько о «проколах» в системах безопасности организаций. Так что вся эта печальная история – мощный стимул и повод задуматься о том, почему WannaCry так легко и беспрепятственно проник в корпоративные сети по всему миру, и что сделать, чтобы избежать подобных инцидентов в будущем.

Фокус на обновления и мониторинг уязвимостей

Напомним, что WannaCry распространялся через незакрытую уязвимость в ОС Windows. И вот тут-то и крылся корень всех проблем – как выяснилось, многие компании так и не установили обновления, закрывающие эту брешь, хотя Microsoft выпустила патч ещё за два месяца до начала атак шифровальщика. Причин тому может быть множество: где-то практикуется установка обновлений вручную, где-то это делается раз в квартал, а где-то и вовсе основной мерой защиты от киберугроз избрали отключение доступа к Интернету. Однако, как показала практика, все эти тактики не работают. И лучше бы доверить управление обновлениями технологиям, тем более что они сегодня доступны на рынке.

К примеру, в защитных решениях «Лаборатории Касперского» для корпоративного сектора, в частности в Kaspersky Security для бизнеса и Kaspersky Endpoint Security Cloud, предусмотрен модуль Kaspersky Systems Management, содержащий автоматические средства проверки системы, которые обнаруживают и устраняют известные уязвимости и помогают в распространении необходимых обновлений и исправлений. Таким образом, как только производитель программного обеспечения сообщит об уязвимости и выпустит соответствующий патч для её закрытия, защитная система «Лаборатории Касперского» автоматически об этом узнает и проведёт обновление ПО. Если бы компании своевременно воспользовались подобными технологиями, атаки WannaCry не получили бы такой размах, и множество ценных данных осталось бы в неприкосновенности.

Кроме того, в защитных решениях «Лаборатории Касперского» присутствует модуль автоматической защиты от эксплойтов (Automatic Exploit Prevention). Он постоянно следит за тем, чтобы зловреды не смогли использовать уязвимости в программном обеспечении. В случае с WannaCry это также помогло бы.

Многоуровневая защита

В хорошем защитном решении должно быть предусмотрено несколько слоёв защиты. Помимо классической сигнатурной проверки, то есть поиска потенциально опасной или ещё неизвестной программы по антивирусным базам, защитная программа должна также обладать возможностями эвристической проверки – то есть уметь распознавать угрозу по поведению программы. Такой подход позволяет эффективно отражать новые и ещё не известные угрозы.

В корпоративных защитных решениях «Лаборатории Касперского» эвристические технологии реализованы в рамках модуля «Мониторинг системы» (System Watcher), который следит за всеми программными процессами, сравнивая их поведение с моделями, характерными для вредоносного ПО. Обнаружив подозрительную программу, «Мониторинг системы» автоматически помещает её в карантин. Кроме того, защитный модуль постоянно контролирует доступ к файлам, а при запросе доступа к ним сохраняет их временные копии. Поэтому если защита обнаружит попытку зашифровать какие-либо файлы, то временные резервные копии позволят вернуть данные в первоначальный вид.

Защитные возможности «Мониторинга системы» можно усилить, активировав технологию контроля программ и динамических белых списков, также предусмотренных в решениях «Лаборатории Касперского». Помимо блокировки программ из так называемого «чёрного списка», в некоторых случаях можно ввести в действие режим «Запрет по умолчанию» и разрешить только программы из белого списка – проверенные и безопасные. Таким образом, шифровальщики будут блокироваться автоматически.

Наконец, важную роль в борьбе с новыми угрозами сегодня играют облачные технологии. Решения «Лаборатории Касперского» узнают о свежих, только что появившихся вредоносных программах из облачной инфраструктуры Kaspersky Security Network (KSN), которая объединяет более 60 миллионов пользователей по всему миру. В облако в режиме реального времени поступают анонимные данные обо всех детектах и потенциально опасных объектах, обнаруженных на устройствах, защищаемых продуктами компании. Как только хотя бы один компьютер, передающий данные в KSN, сталкивается с новой угрозой, информация о ней становится доступной всей защитной инфраструктуре «Лаборатории Касперского» – и все пользователи продуктов компании автоматически получают обновлённые антивирусные базы и избавляются от риска столкновения с новым зловредом.

Предупреждён – значит вооружён

Информационная безопасность сегодня превратилась из системы в процесс, который нужно постоянно контролировать и поддерживать в актуальном состоянии. При этом крайне важно уделять внимание не только предотвращению угроз на всех узлах и точках входа в IT-инфраструктуру компании, но также уметь прогнозировать и предвидеть возможные векторы атак и знать, какие места в корпоративной сети в наибольшей степени подвержены риску. Эти задачи уже невозможно решить лишь технологическими средствами, тут необходимы опыт и знания экспертов в области информационной безопасности.

Именно поэтому, помимо защитных решений, «Лаборатория Касперского» предлагает широкий набор экспертных сервисов – Kaspersky Security Intelligence. В рамках этих сервисов эксперты «Лаборатории Касперского» могут проанализировать текущее состояние IT-инфраструктуры компании, выявить её наиболее уязвимые места и дать свои рекомендации по усилению защиты. Кроме того, организация может получать так называемые потоки данных – кастомизированные отчёты с информацией о наиболее актуальных для неё угрозах. Эти знания помогут скорректировать подход к обеспечению защиты.

Особое внимание также стоит уделить обучению сотрудников компании навыкам безопасной работы с IT-системами и озаботиться повышением их уровня осведомлённости о киберугрозах. С этой задачей помогут справиться специальные образовательные сервисы «Лаборатории Касперского», которые предусматривают многоступенчатую систему тренингов для всего персонала организации. Человек – одно из самых уязвимых звеньев в цепочке защиты предприятия, и киберпреступники прекрасно это понимают.

Главное не платить

Основная проблема с шифровальщиками и вымогателями сегодня заключается в том, что зачастую жертвы соглашаются заплатить злоумышленникам, так как не видят другого способа вернуть доступ к своим ценным данным. И это подстегивает киберпреступную экономику, что подтверждается статистическими данными: мы наблюдаем рост числа атак и фиксируем появление новых игроков на этом поле. Так, количество программ-шифровальщиков, нацеленных на корпоративный сектор, в период 2015—2016 гг. выросло почти в 6 раз по сравнению с предыдущим аналогичным периодом (2014—2015 гг.).

Мы настоятельно рекомендуем не платить злоумышленникам. Во-первых, это лишь мотивирует их и дальше совершать подобные атаки, а во-вторых, уплата выкупа отнюдь не гарантирует, что доступ к зашифрованным данным будет восстановлен – киберпреступники могут «забыть» прислать ключ или вообще не иметь его. Их главная задача – собрать деньги, сохранность чужих данных их нисколько не волнует.

Так что лучше всё-таки озаботиться проактивной защитой от угрозы вымогателей и начать играть на опережение. Как известно, проще предотвратить проблему, чем потом разбираться с её последствиями.

Редактор раздела: Тимофей Белосельцев (info@mskit.ru)

Рубрики: Интернет, ПО, Web, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода