Як захиститись выд кібератак? Рекомендації антикризового Центру кібернетичного захисту бізнесу при ТПП України
22.08.2017 00:00
Нещодавно відбулись потужні хакерські кібератаки на ВЕБ-ресурси державних установ та бізнесу. Незважаючи на прийняті заходи щодо ліквідації загроз та впровадження захисту у ліпні знову відбулись атаки на низьку банків та Укрпошту.
1. Яка ймовірність повторних кібератак у серпні та на які галузі?
(Відповіді на питання надав О. Галущенко - експерт антикризового Центру кібернетичного захисту бізнесу при ТПП України, директор компанії IT Laboratory.)
Дуже висока. Ця проблема, скоріше, з розгляду тих, що накопичилася, а не точкова. Неправильно всі кібер атаки об'єднувати під один напрямок: атаки, як і хвороби, бувають абсолютно різні. Існує, як мінімум, з два десятки напрямків, за якими можуть здійснюватися напади і впливи на існуючу інфраструктуру. Та й причини впливів абсолютно різні: від легких, практично непомітних, до масових і деструктивних за своєю суттю, спрямованих на знищення інфраструктури. Тут варто зануритися в цю тему докладніше, що б доступно пояснити сенс того, що відбувається. Але це тема окремої розмови.
7 березня 2017 року, Wikileaks почала публікацію дампа під кодовою назвою Vault 7, що містить подробиці роботи Центрального розвідувального управління (ЦРУ) США. Перша публікація отримала назву «Рік зеро» (Year Zero) і містила 8761 документів і файлів з закритою мережі Центру радіотехнічної і електронної розвідки ЦРУ в Ленглі.
Фактично, у вільний доступ були викладені інструменти і вихідний код, за допомогою яких будь-який початківець «хакер» зможе створити свій, унікальний продукт. Для таких «хакерів» в середовищі фахівців є назва: Скрипт-кідді (англ. Script kiddie) - в хакерській культурі принизливу назву тих, хто користується скриптами або програмами, розробленими іншими, для атаки комп'ютерних систем і мереж, не розуміючи механізму їх дії. Передбачається, що скрипт-кідді занадто недосвідчені, щоб самим написати свій власний експлойт або складну програму для злому, і що їх метою є лише спроба справити враження на друзів або отримати похвалу від спільнот комп'ютерних ентузіастів.
І це страшно: фактично, напрошується аналог мавпи з гранатою. Тому створені мутації атакуючих продуктів, помножені на помилки в коді, можуть створити «гримучу суміш», яка значно перевершить початковий задум «хакера». Як то згадалися апокаліптичні фільми про створення біологічних вірусів, що вирвалися на свободу і знищили 99% населення планети. У нашому випадку теж вірус, але він використовує іншу середу поширення: мережі передачі даних, гаджети і набирає популярність інтернет речей.
Будь-яка атака вимагає підготовки. Неможливо натиснути одну кнопку і обвалити системи. Створення будь-якого шкідливого продукту вимагає часу, випробувань, визначення об'єкта атаки і розуміння, чого саме слід добитися. Якщо брати конкретний випадок 27 червня, то там все далеко не просто, як здається на перший погляд. Були визначені цілі, модель і спосіб поширення, використовувалися свіжі, ще не вживані масово уразливості (з опублікованих на Wikileaks). За всіма наявними в нашому розпорядженні обробленими даними, це було тренування. Такий собі тест в реальних умовах і вивчення реакції соціуму. Тому чекаємо ще однієї хвилі: з виправленими помилками і новими експлойтами (Експлойт (англ. Exploit, експлуатувати) - комп'ютерна програма, фрагмент програмного коду або послідовність команд, що використовують уразливості в програмному забезпеченні і застосовані для проведення атаки на обчислювальну систему. Метою атаки може бути як захоплення контролю над системою (підвищення привілеїв), так і порушення її функціонування (DoS-атака))
Існує ряд причин, за якими кількість атак буде тільки збільшуватися. Але це тема окремої великої розмови з прикладами.
2. Створеному Антикризовому Центру кібернетічного захисту бізнесу при ТПП України постійно надходять конкретні запити від представників малого середнього бізнесу, а саме:
• Які превентивні заходи (регламентні роботи) треба провести для уникнення чи мінімізації загроз?
Ці питання з розряду «як вижити після ядерного вибуху». Занадто багато факторів, змінних і початкових умов. Але спробуємо систематизувати і відповісти.
Як не дивно, перші кроки лежать не в технічній, а в організаційній частині роботи. Повинно відбутися розуміння, що сьогодні ми перейшли межу між «десь там далеко і нас не торкнеться» і реальним проникненням технологій в наше життя. Якщо раніше можливість піддатися атаці були в основному, в голлівудських фільмах, то зараз це з нами. З усіма. І правило про снаряд і попадання в воронку двічі вже не працює. Цікаве спостереження: тільки після серйозної втрати даних власники бізнесу і керівники компаній оцінили рівень загрози і наслідки. І відразу знайшлися бюджети .
Для розуміння, в якому стані знаходиться ІТ складова компанії, необхідно провести аудит інформаційної безпеки. Це перший і обов'язковий крок, з якого потрібно починати. Після цього стає зрозуміло, куди рухатися далі, скільки необхідно коштів і етапи приведення в порядок інфраструктури замовника.
Ні одного універсального рецепта: завжди все по різному: тому і необхідно починати з оцінки загроз і стану ІТ інфраструктури. Уже на цьому етапі багато хто починає нервувати: реальний стан майже завжди сильно відрізняється від того, що говорять «приходящі» фахівці, які вміють змінювати картридж в принтері і встановлювати піратські версії програмних продуктів. Рекомендуємо звертатися в компанії, що мають відповідні ліцензії і досвід роботи в цій сфері.
• Що потрібно знати керівнику підприємства у випадку загрози?
Загрози бувають різні. В першу чергу, необхідно розробити регламент роботи в мережі підприємства, призначити відповідальних осіб, а в ідеалі-побудувати систему захисту, яка сильно ускладнить проникнення і розповсюдження шкідливих елементів. Тут, як не дивно, на першому місці не мега складні системи захисту, а адміністративні правила, виконання яких не складно. Звичайно, використання новітніх систем апаратного захисту з аналітичними модулями сильно ускладнить життя хакерам і порушникам, але сподіватися тільки на апаратну частину-це неправильно. У будь-якій системі найслабша ланка-це людина.
• Які першочергові заходи Ві могли б рекомендувати по інформаційній безпеці?
Це будуть кілька порад, які не завжди врятують від цілеспрямованої атаки, але сильно ускладнять життя нападаючим.
1. Змінити всі паролі на поштових скриньках та облікових записах (акаунтах). Один адреса - свій, унікальний пароль. Ніколи паролі не повинні бути однакові для різних адрес.
2. У паролі використовуємо великі, маленькі букви, службові символи (! "№;%:? * () _ +), Не робимо слова російськими літерами на англійській розкладці. Приклад хорошого пароля: Kj1 # w2 * LadQpw3oi029)
3. Розділити телефони. Один особистий, другий для роботи. У них різні адреси електронної пошти і НІЯКОЇ переадресації !!!
4. Ніколи не вводимо пароль в формах, що приходять на пошту. Це фішинг. По простому-спосіб обманним шляхом отримати Ваш пароль.
5. «Яблучні пристрої» (iPhone, iPad, тощо) відключаємо від хмари. Прибираємо автоматичне збереження та створення резервних копій. Всі дані для синхронізації тримаємо вдома на окремому комп'ютері, який підключається до телефонної лінії до дроту (ніякого Wi-Fi) для синхронізації !!). Так, це дещо не зручно, але, якщо до зловмисника потрапить Ваш пароль від хмари Apple iCloud, то вся інформація йому буде доступна. Навіть сама потаємна і та, яка ретельно приховується, включно з листуванням в месенджерах, секретних чатах, тощо. Ще один неприємний момент: Ви зробили фото, відправили його і стерли. Так ось: воно залишається. І його можна побачити. І використовувати в своїх цілях. Пам'ятайте про це. Анонімності в мережі немає, особливо з «яблучними» пристроями.
6. Заходимо в настройки Google пошти і розриваємо всі сесії, крім тієї, з якою Ви увійшли. Ставимо двох факторну авторизацію по ПІНу. Це дасть ще один рівень захисту, крім прив'язки до номера телефону. Взагалі цю процедуру (розриву сесій) потрібно проводити регулярно. І записувати IP адреси і час входу в систему. Ці дані дозволять виявити місце, звідки працює зловмисник і направити до нього мобільну групу швидкого реагування.
7. Ніколи не залишаємо телефон, планшет, ноутбук без нагляду. Досить 50 секунд для установки в ці пристрої програмного "жучка", який перетворить Ваші пристрої в заражені.
8. Файли, які прийшли поштою. Відкриваємо з обережністю. З незнайомих адрес не відкривати. Якщо відкрили і файл просить встановити щось, або запустити макрос, або зробити будь-яку іншу дію - відмовляємося. Але не факт, що зараження вже не відбулося. Тому, як тільки є підозра, робимо скидання до заводських налаштувань на пристрої. Це допомагає в 75% випадків. Для якісних продуктів ворожої промисловості (вірусів, троянів та ін.) це не рішення. Потрібно міняти все: телефон (апарат), номер (сім карту), карту пам'яті та адресу електронної пошти. Ніякого експорту-імпорту. Потрібні контакти вбиваємо руками. Не приємно, зате надійно і не пролізе вірус.
9. До Wi-Fi мережі підключаємося ТІЛЬКИ в надійних місцях. Ніяких Free вWi-Fi, гостьового доступу та інших. Тільки 3G. Надійне місце-це будинок, свій офіс. І пароль ніхто не знає, і він довгий, і функція WPS відключена. Якщо довелося комусь дати пароль від вашого Wi-Fi, після відходу гостей його (пароль) міняйте. Якщо це клопітно - купіть одну точку доступу і до неї всіх підключайте. І самі НІКОЛИ не користуйтеся нею. Така точка повинна заходити в приміщення окремим проводом і мати свою IP адресу, в ідеалі-бути від іншого провайдера взагалі.
10. Найміть фахівця, він встановить необхідне обладнання в офісі і вдома, яке сильно ускладнить спроби підключення. Варіанти є різні: від 1000 $ і до нескінченності, в залежності від Ваших потреб.
11. Ніколи не використовуйте робочі адреси електронної пошти для реєстрації в соціальних мережах або для розміщення оголошення з номером телефону. Як приклад, маючи адресу пошти і номер телефону, можна отримати доступ. Як-то інше питання. Тому на візитці пишемо або міський номер телефону і реальну пошту, або мобільний номер і корпоративну пошту, з якої можна зробити переадресацію. Хоча правильно - ніякої переадресації і робота безпосередньо з цієї самої корпоративною поштою. Якщо важко налаштувати самому-навантажите свого адміністратора.
12. Не тримайте багато документів на вашому диску. Нехай там буде тільки те, що потрібно в даний момент часу.
13. Не приймайте в подарунок засоби зв'язку і різні гаджети. Якщо не хочеться образити людину, знайдіть в магазині точну копію подарунка, купіть і використовуйте її. Зовні відмінностей не буде, але від усіляких неприємних сюрпризів це врятує.
14. Вимкніть в Ваших пристроях (телефони, планшети, ноутбуки, холодильники, праски, телевізори, тощо) автоматичне підключення до Wi-Fi мережі. Підключайтеся тільки в довірених місцях і тільки самі. Кнопкою. Ніякої автоматизації. Це важливо.
В Україні існують спеціалізовані органи і центри, які уповноважені державою опікуватися питаннями інформаційної безпеки, які здійснюють моніторинг, ведуть боротьбу з кібер загрозами та розробляють відповідні рекомендації.
CERT-UA (http://cert.gov.ua) – спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам (ДЦКЗ) Державної служби спеціального зв’язку та захисту інформації України (Держспецзв’язку)
Кіберполіція України - https://www.cybercrime.gov.ua/
Ми рекомендуємо:
Уважно читати надані рекомендації та не нехтувати ними, задавати питання, звертатися за допомогою до фахівців, не боятися просити роз'яснення. І пам'ятайте: одного, універсального захисту не існує. Завжди потрібен комплекс заходів і постійний моніторинг систем для підтримки їх в актуальному, робочому стані.