«Антивирусники» не защищают от всех способов взлома 

«Ростелеком» и Schneider Electric рассказали, что чаще всего атакуют взломщики  

09.03.2021 16:30
МОЁ! Online

Читать все комментарии

Войдите, чтобы добавить в закладки

Почему антивирусных программ недостаточно для защиты от взлома и утечки данных? Что чаще всего атакуют кибервзломщики? Как от них защититься? На эти и другие вопросы ответил технический консультант по кибербезопасности компании Schneider Electric Андрей Иванов. Сделал он это в рамках обучающего вебинара «Ростелекома» 25 февраля.

Куда атакуют чаще всего?

За 2019 год центр мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком» выявил и отразил свыше 1 миллиона внешних атак на информационные ресурсы организаций. Традиционно наибольшее число инцидентов такого рода — более 430 тысяч — было выявлено в Москве. 

В Центральном федеральном округе, куда относится Воронежская область, за этот же период было зафиксировано свыше 83 тысяч атак. При этом большая часть атак (35%) была реализована с помощью вредоносного программного обеспечения (вирусов, троянов, шпионского ПО и т. п.). 

Как отмечают эксперты Solar JSOC, этим инструментарием злоумышленники пользуются всё активнее — в 2019 году количество инцидентов с применением вредоносов выросло на 11%, причём преступники постоянно их совершенствуют, делая всё менее заметными для средств защиты.

Вторым по популярности методом взлома инфраструктуры организаций в ЦФО стало использование уязвимостей в веб-приложениях (веб-порталах, электронной почте, интернет-банках, личных кабинетах и т. д.). На эти виды атак приходится 30% всех инцидентов. 

На третьем месте подбор и компрометация учётных данных (логинов и паролей) от интернет-ресурсов организаций (21%).  

В Центральном округе фиксируется самый высокий процент успешных brute force — атак с помощью автоматизированного полного перебора паролей к учётным записям — и получения доступа к внешним сервисам организаций. Причины этого — невысокий уровень безопасности информационной инфраструктуры и игнорирование правил парольной политики, таких как сложность и частота смены паролей, — пояснил директор центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком» Владимир Дрюков. 

Среди прочих типов кибератак, осуществлявшихся на компании Центрального федерального округа, эксперты Solar JSOC выделяют попытки компрометации логинов и паролей системных администраторов, DDoS (атаки, приводящие к недоступности веб-сайтов) и эксплуатацию известных уязвимостей, которые не были своевременно устранены службами информационной безопасности организаций.

Почему «антивирусника» на компьютере недостаточно?

На производствах в любой отрасли в России применяются автоматизированные системы управления технологическим процессом (АСУТП) — группа технических и программных средств. 

АСУТП условно состоит из трёх уровней:

👉 полевые устройства: различные сенсоры и датчики (измеряют физические характеристики какого-либо процесса, преобразуют эту информацию в цифровую и передают системе управления);

👉 управление процессом: технические средства, которые могут вести вычисления и обрабатывать информацию;

👉 заводские системы: информационные и компьютерные технологии, которые используют данные с нижних уровней для обработки.

И на каждом уровне, а не только на компьютерах, необходимо обеспечивать кибербезопасность. Ведь системы АСУТП соединены с системами АСУП (управления предприятием) и так или иначе обмениваются с ними данными. А система АСУП находится в корпоративной сети, которая имеет выход в интернет. 

К тому же существует такое понятие, как «внутренний нарушитель», когда можно подкупить, запугать, шантажировать сотрудника, имеющего легальный доступ к системе АСУТП. 

Так, согласно отчёту «Ростелеком-Солар» за 2020 год 40% кибератак приходились на серверы и рабочие станции управления технологическими процессами.

Как защитить свою компанию от кибератак?

Вопрос защиты информации отражён в международном стандарте кибербезопасности, который подразумевает комплексный подход. В него входят четыре группы: контроль управления доступом (физическая безопасность, авторизация, аутентификация и т. д.); защита (антивирусная система, управление устройствами и т. д.); обнаружение (системы мониторинга сети, обнаружение аномалий и т. д.); реагирование (средства реагирования, резервное копирование и восстановление и т. д.).

Приведено сразу множество средств защиты, поскольку в настоящий момент не существует универсального решения, установив которое на АСУТП мы можем считать, что защищены от всего. Сейчас для полноценной защиты на предприятиях должен постоянно применяться целый комплекс решений. Система защиты должна быть построена по многоуровневому принципу, когда другой уровень должен остановить или задержать злоумышленника, — делится технический консультант по кибербезопасности компании Schneider Electric Андрей Иванов.

Защиту АСУТП регулирует Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации». Он регламентирует 12 отраслей. 

Сейчас для АСУТП используют три уровня защиты: защита конечных узлов (антивирусное ПО, контроль запуска приложений и их целостность, контроль подключаемых устройств); защита сетей (для выявления несанкционированных попыток дачи команд); защита самих компонентов АСУТП (защита встроенного функционала).

Инциденты безопасности неизбежно произойдут, и к этому надо быть готовым, — констатирует Андрей Иванов.

Также он отмечает, что вопросом кибербезопасности всё больше интересуется средний бизнес, а значит, всё больше его представителей сталкиваются с угрозами кибератак.

КСТАТИ! В 2020 году «Ростелеком» объявил о создании кластера информационной безопасности. В сферу интересов также попадают и автоматизированные системы управления. Он объединяет несколько компаний, которые занимаются разработкой продуктов, предоставлением сервисов и реализацией интеграционных проектов в этой сфере. В течение трёх лет организация намерена инвестировать в программу 4 миллиарда рублей.