Журнал Mail.ru Cloud Solutions
об IT-бизнесе, технологиях и цифровой трансформации

Кибербезопасность в B2B: как бизнесу защититься от хакеров Mail.ru Cloud Solutions
Mail.ru Cloud Solutions
  • 23 декабря
  • Бизнес

Кибербезопасность в B2B: как бизнесу защититься от хакеров

Популярное

Защищаться от киберугроз стоит компаниям из всех отраслей экономики. От хакерских атак традиционно сильнее страдает финансовый сектор, однако целью злоумышленников может стать коммерческая информация, персональные данные или инфраструктура любого бизнеса. Расскажем, чего стоит опасаться и как защититься от кибератак в B2B.

Статья на основе подкаста «Завтра облачно». Гость подкаста — Алексей Маланов, антивирусный эксперт «Лаборатории Касперского». Слушать: в журнале, на iTunes, во «ВКонтакте», Google Podcasts, SoundCloud. Оригинал статьи на Cossa.ru.

Виды киберугроз в B2B

Одно из ключевых отличий кибербезопасности в B2C и B2B — типы угроз. В В2С угрозам все равно, кого атаковать — чью защиту пробили, там и повезло. А вот в В2В надо делить угрозы на три типа:

  1. Случайные (90% угроз) — те, которые свободно блуждают в интернете и попадают в организацию случайно, например, когда пользователь кликнул не на ту ссылку или скачал какое-то программное обеспечение.
  2. Целевые (около 10% угроз) — их авторы знают, кого атакуют, какая защита установлена в конкретной организации. Они стараются проникнуть в компанию, а дальше действуют по обстоятельствам. Часто такие атаки осуществляют через поставщиков, их называют supply chain attack (атака на цепь поставок) — это когда хакеры сначала внедряются в программное обеспечение поставщика, а потом заражают системы компании. Такие атаки сейчас актуальны, так как проверить весь скачанный софт сложно. И это еще одна ключевая особенность киберзащиты в В2В: нужно защищать не только свой периметр, но и все, что приходит извне.
  3. Кибероружие (0,1% угроз, или даже меньше). Это угрозы, которые пишутся настолько квалифицированными группировками, что есть подозрение — атаки спонсируются государством. Такие атаки не предназначены для извлечения прибыли. Например, считается, что компьютерный червь Stuxnet разработан спецслужбами США и Израиля для операции против ядерного проекта Ирана. Предположительно, в 2009-2010 годах была атакована центрифуга по обогащению урана. При этом завод не был подключен к интернету, поэтому заражение произвели через завербованного сотрудника, пронесшего на территорию флешку с вредоносом.
Три вида угроз в B2B

Как компаниям защититься от киберугроз

В B2B недостаточно традиционного базового уровня защиты в виде антивирусов для конечных узлов. Его хватает только для атак первого типа, то есть случайных. Качество защиты от них легко проверить тестами.

При целевых атаках, когда злоумышленники знают, кого атакуют и пытаются обойти каждый из слоев защиты, нужны более серьезные меры. Тут цель защитного решения — сделать обход защиты максимально ресурсозатратным. Так, чтобы цена атаки была выше, чем потенциальная выгода от пробива, помноженная на вероятность этого пробива. Например, в компании несколько защитных слоев: облачная защита, поведенческая защита, машинное обучение. Хакеру нужно пробиться сквозь все три — это дорого, требует большого количества ресурсов, возможно, будет невыгодно.

Для защиты от целевых атак есть специальные агенты, установленные на всех узлах организации, и некий центральный сервер, который обрабатывает получаемую мета-информацию и ищет в ней аномалии. То есть он сверяет поведение внутри сети с поведением, стандартным для этой организации. На основании такого сравнения защитная система делает выводы: все в порядке или что-то идет не так.

Упрощенный пример: сервер видит, что ночью компьютер бухгалтера соединяется с серверами в Китае, когда обычно он соединяется только с российскими серверами и только днем. О такой ситуации система оповещает администратора, который решает, что делать. Либо система может сразу заблокировать устройство — это зависит от настроек. Так, в банке можно включить автоматическую блокировку подозрительных действий, а уже потом разбираться, в чем причина аномалии. Настройки зависят от того, насколько критичными могут быть последствия атаки на компанию.

В крупных организациях или организациях, которые зависят от защищенности данных, есть специальный отдел — SOC, security operation center, который мониторит угрозы, в том числе целевые.

Как работают хакеры

Хакеры довольно четко делятся на «белых» и «черных». У одних моральный принцип — «не своруй», у других — «беру, что плохо лежит». Если речь о целевых атаках, как правило, они осуществляются не хакером-одиночкой, а несколькими людьми с разделением обязанностей: кто-то занимается пробитием защиты, кто-то должен попасть внутрь, кто-то забрать деньги.

Если у компаний много виртуализированных ресурсов, хакер, попадающий внутрь, может получить большие полномочия и закодировать все рабочие станции, все серверы, а потом запросить выкуп. Работа компании в таком случае будет парализована. К сожалению, в таких ситуациях даже перевод денег злоумышленникам часто не решает проблему, поэтому лучше позаботиться о защите и бэкапе заранее.

Похожая ситуация была в компании Maersk — это транспортно-логистическая компания, мировой лидер в области морских контейнерных перевозок и портовых услуг. Она пострадала от вируса-вымогателя ExPetr, особенно пагубной атака оказалась для подразделения APM Terminals, управляющего работой десятков грузовых портов и контейнерных терминалов. Работа некоторых портов была парализована на несколько дней. Атака распространялась без участия человека при помощи remote code execution, то есть удаленного выполнения кода на взломанном компьютере.

Шифрование и требование выкупа — актуальная угроза для бизнеса. На этот рынок сильно повлияли криптовалюты, до них у злоумышленников были проблемы с тем, как забрать деньги и не попасться.

Так, если из компании изъяли обычные деньги, например с помощью перевода, их нужно быстро обналичить, проще всего снять через банкомат. Это в группировке хакеров делают отдельные люди, так называемые дропы — люди в масках, которые подходят к банкомату и с ворованных карт снимают деньги. Дропы, как правило, не знают организаторов атаки и не могут их выдать, если будут пойманы с чужими деньгами.

Например, во время атаки с помощью компьютерного червя Carbanak из различных банков украли около миллиарда долларов. Группировка хакеров через электронную почту заражала компьютеры рядовых сотрудников, затем собирала данные, кто и за что в банке отвечает, потом заражала компьютеры нерядовых пользователей, выясняла, как переводятся деньги, и выводила их разными способами, в частности через банкоматы.

Заразить компьютер рядового сотрудника обычно несложно. Например, ему приходит письмо, составленное после изучения профиля в соцсетях, а там заманчивая ссылка, после клика на которую в компьютер попадает вирус. И далее злоумышленники ищут способы распространить вирус с первого зараженного компьютера на следующие. Это только одна схема, бывают и другие, например, когда в компанию внедряют инсайдера — то есть агента хакеров под видом сотрудника.

Службе безопасности компании после любого такого инцидента нужно осуществлять incident response, то есть расследование — важно понять, как произошла атака, чтобы в будущем улучшить защиту от угроз. Это нужно делать, даже если атака была предотвращена до вывода денег или шифрования всех серверов.

Почему блокчейн не гарантирует защиту от кибератак

Блокчейн нельзя считать полностью защищенным от киберугроз. Есть разные подходы и способы его взломать.

Одна из уязвимостей в том, что любая транзакция не сразу записывается в блокчейн, она сначала попадает в очередь. Пока транзакция не записалась, ее можно успеть отменить. Отмена возможна и после записи блока с транзакцией в общую цепочку — блокчейн вовсе не невозвратный, как думают многие люди.

Например, в Канаде была атака на банкоматы, которые позволяют продать биткоины и получить наличные: с телефона криптовалюту переводят на банкомат, а он обменивает ее на деньги. Из 45 таких банкоматов сняли все наличные, $200000. Что делали злоумышленники — переводили биткоины на банкомат, забирали деньги, а потом тут же отменяли транзакцию с телефона. В итоге у них на счету оставались биткоины и плюс живые деньги на руках.

Поэтому криптобиржи обычно требуют не один, а минимум шесть блоков подтверждения транзакции — из-за возможных отмен и того, что блоки иногда отлетают, образуется альтернативная цепочка. Чтобы понять, как такое происходит, надо разобраться в самом принципе записи транзакций в блокчейн. По идее цепочка блоков — единая для всех участников, ее строят вместе, блок за блоком. Каждый участник системы занят тем, что ищет следующий блок, который можно включить в цепочку.

Представьте, что у вас много перевернутых стаканчиков, нужно найти в одном из них шарик для пинг-понга. Вы открываете один за другим до тех пор, пока не найдете. Примерно так люди занимаются майнингом, и тратят на это космическое количество электричества.

Иногда бывает так, что два счастливчика находят блоки одновременно, в итоге строится две цепочки. Или кто-то один с большими мощностями строит альтернативную финансовую историю, свою цепочку. Он не может отобрать чужие деньги, но может завести свою криптовалюту на биржу, дождаться пока она их зачислит, а потом отменить перевод в своей цепочке: криптовалюта снова в кармане плюс баланс на бирже, который можно вывести.

Такие схемы уже проводили с некоторыми криптовалютами. И это также возможно с биткоином: 80% его майнинговых мощностей сейчас находится в Китае, если их консолидировать, реально построить альтернативный блокчейн.

В 2018 году была атака на криптобиржу с переписыванием блокчейна Bitcoin Gold. Хакер украл примерно 18 млн долларов, захватив 51% вычислительных мощностей сети и модифицировав детали транзакций в блокчейне криптовалюты. Злоумышленник вносил средства на биржу и тут же выводил их назад, отменяя транзакцию. Так он накопил монеты на собственном кошельке.

Для защиты от альтернативных цепочек биржа вынуждена проверять достоверность транзакций, требуя уже не шесть блоков цепочки, а например 100. Ведь чем длиннее должна быть альтернативная цепочка хакера, тем больше мощностей ему нужно, чтобы ее построить.

Есть и другие варианты взлома криптобирж. Например, взлом их кошельков. На самом деле, кошелек, на котором находится криптовалюта, — просто секретный ключ. Если кто-то прочитает ключ, то получит доступ к деньгам, которые там лежат.

Поэтому на криптобиржах есть холодный и горячий кошельки. Горячий кошелек нужен, чтобы пользователь мог свободно вводить и выводить коины, пользоваться ими. А все депозиты, то есть большая часть криптовалюты пользователя, лежат на холодном кошельке. Для лучшей защиты криптобиржи делят средства в пропорции 95% на холодный кошелек и 5% на горячий.

Когда горячий кошелек истощается, деньги на него переводят с холодного кошелька, но не просто так: есть понятие мультиподписи — транзакцию должны подтвердить несколько человек, например, директор криптобиржи и специалист по безопасности.

Так, в Японии украли 400 млн долларов с биржи Coincheck, потому что там не было холодных кошельков. Но даже их наличие не дает 100% защиты. Например, в 2014 году был известный взлом биржи mt.gox. Злоумышленники получили доступ к горячим кошелькам, опустошали их, но так как бухгалтерия была построена плохо, владелец биржи перекидывал новые монеты с холодных кошельков. В итоге хакеры смогли увести более 850 000 BTC. 200 000 BTC потом внезапно нашли у себя.

Как понять, откуда пришла кибератака

После кибератаки сначала проводят физический анализ того, что произошло. Потом разбирают программное обеспечение до строчки кода, в некоторых случаях нужно выяснить — вирус это был или какой-то программный баг. Иногда если злоумышленники грамотно затерли следы, уже ничего нельзя обнаружить.

Вернемся к истории с атакой на иранский завод. Там сначала поняли, что центрифуги сломались, потому что вращались с неверной скоростью. Стали разбираться, почему. Оказалось, система контроля над центрифугами была заражена, в коде обнаружили тело вредоноса. Дальше уже выясняли, как он туда попал. В итоге поняли, что его пронес сотрудник, заразил компьютер, управляющий контроллером, а уже оттуда червь попал в контроллер.

Выяснить происхождение атаки, то есть из какой она страны, кто за ней стоит, можно только по косвенным признакам.

Приведу пример: вы настроили радио, по которому говорят по-немецки. Вы слышите, что вещатель — немец, и он, допустим, говорит: «Доброе утро», когда в Германии утро. Много фактов за то, что радиостанция расположена в Германии. С другой стороны, она может находиться в Австрии или где-то еще.

Косвенные факты не всегда позволяют точно определить, откуда была атака, также их можно подделать. Например, была атака во время Олимпийских игр в Южной Корее — Olympic Destroyer, когда злоумышленники вывели из строя официальный сайт олимпиады, сеть Wi-Fi на стадионе и помешали прямой трансляции события. Внутрь вируса были вшиты определенные показатели, их называют фичи, которые указывали на одну страну — Северную Корею. Но при детальном анализе выяснилось, что это ложные фичи, за атакой стоит другая страна.

Кроме анализа самой атаки, можно проводить атрибуцию по жертвам — кому было выгодно нападение. Еще учитывают инструментарий: какие библиотеки и уязвимости использовали хакеры.

Киберугрозы из-за уязвимости программного обеспечения

В любом программном обеспечении есть уязвимости. Существуют эксплойты — специальные программы, написанные, чтобы эти уязвимости использовать для атаки. Если разработчик знает, где уязвимость, он может поставить какой-то патч — программу или часть программы для устранения проблем в ПО. Патч будет защищать от кибератаки в этом слабом месте.

Также есть эксплойты нулевого дня — они написаны для использования уязвимостей, о которых еще не знает разработчик. Для них нет патчей, способных устранить угрозу, нужны специальные технологии превентивной защиты от эксплойтов. Если такие технологии не используются, устройство или система будут беззащитны перед нападением.

Использовать эксплойты нулевого дня для атак дорого, поэтому их не применяют для массовых нападений, только для целевых. Выбирается конкретная цель, если атака на нее оправдывает использование дорогого эксплойта, его используют. Если нет — ищут другие подходы.

Уязвимости в программном обеспечении, неизвестные разработчикам, постоянно ищут и закрывают патчами. Также производители ПО, та же Apple, покупают информацию об уязвимостях, стимулируя исследователей искать их в различных приложениях. С исследователем, нашедшим слабое место, заключают соглашение — он какое-то время не разглашает подробности об уязвимости, чтобы компания успела разработать патч и накатить обновления. Кроме такого легального рынка, есть черный рынок, там злоумышленники могут продать или купить информацию об уязвимостях в программном обеспечении или сами эксплойты.

Квантовый компьютер сломает все шифры, или нет?

Есть страшилка, что квантовый компьютер будет легко справляться со всеми современными системами шифрования. На самом деле, чтобы защититься от этого, нужно добавить к текущему стандартному, не квантово-устойчивому шифрованию еще одно — квантово-устойчивое. Есть алгоритмы шифрования, которые на квантовом компьютере решаются не быстрее, чем на обычном. Однако может оказаться, что они легко решаются обычным компьютером, поэтому стоит использовать два типа шифрования.

Основная проблема не в том, чтобы защититься от квантового компьютера, а в том, что уже сейчас сохраняют зашифрованные данные, которые будут полезны в будущем. Это значит, что на особо важные данные нужно навешивать двойную защиту, не дожидаясь момента, когда квантовые компьютеры научатся взламывать шифры.

Как бизнесу защищаться от киберугроз

  1. Учитывать, что против компаний могут быть не только случайные атаки — особенно опасны целевые нападения, когда хакеры изучают защиту конкретной организации, ищут в ней слабые места, заражают компьютеры сотрудников или засылают внутрь агента.
  2. Проверять и защищать не только свой периметр, но и программное обеспечение, получаемое от любых поставщиков.
  3. Использовать технологии превентивной защиты от эксплойтов нулевого дня — программ, написанных для уязвимостей программного обеспечения, о которых не знают разработчики, и против которых нет встроенной защиты.
  4. Обеспечить несколько слоев антивирусной защиты, чтобы атака на бизнес стала сложной и невыгодной злоумышленникам.
  5. Проводить расследование по всем инцидентам с удачными и неудачными кибератаками, чтобы постоянно улучшать защиту.
Ссылка скопирована!

Что еще почитать про ИТ-бизнес