Понедельник, 8:00 утра. Сотрудники не могут войти в систему. Производственные линии остановлены, а на экранах красуются цифровые письма с вымогательством. Кошмар любого CIO стал реальностью: атака программы-вымогателя парализовала работу. Сейчас обычный режим заканчивается, и начинается чрезвычайное положение.
Для Йоанны Ланг-Рехт, директора отдела IT Forensics и доверенного лица компании intersoft consulting services AG в Гамбурге, это повседневная реальность. Она руководит высокоспециализированной группой быстрого реагирования, которая реконструирует ход событий и сдерживает ущерб, пока другие погружаются в хаос.
«Это действительно можно представить себе так же, как в криминалистической экспертизе», — объясняет Ланг-Рехт. Однако реальность мало похожа на яркие фонарики в темных комнатах, хотя параллели в методах и можно проследить. «Мы не собираем следы пороха или отпечатки ног, мы концентрируемся на следах в цифровом пространстве», — говорит эксперт по криминалистике.
Когда киберпреступники наносят удар, они, несмотря на все тактики сокрытия, оставляют цифровые фрагменты. Это могут быть журналы событий (logfiles), измененные временные метки или фрагменты в оперативной памяти. Все это — части головоломки, из которых Ланг-Рехт и ее команда собирают картину атаки. Их девиз: реконструкция вместо спекуляций. Но прежде чем начнется детективная работа, компании должны сначала выйти из состояния шока.
Между паникой и параличом
Атаки программ-вымогателей обычно следуют коварному графику. Например, злоумышленники точно знают, когда IT-отделы наиболее уязвимы. «Часто такие атаки происходят в выходные или праздничные дни», — сообщает эксперт из Гамбурга в подкасте TechTalk Smart Leadership от COMPUTERWOCHE и CIO-Magazin. «Фаза шифрования», в ходе которой шифруются данные жертвы, затем проходит с вечера пятницы до вечера воскресенья. Когда сотрудники приходят в офис в понедельник, беда уже произошла.
Первую реакцию пострадавших компаний Ланг-Рехт описывает как состояние абсолютной паники. «Мы говорим о настоящем чрезвычайном положении», — подчеркивает она. Нет электронной почты, нет доступа к клиентским данным, нет производства. На этой первой «стадии принятия», как называет ее Ланг-Рехт, часто совершаются самые большие ошибки, которые могут значительно затруднить последующее расследование.
Человеческий импульс понятен: хочется спасти то, что можно. Однако эксперт по криминалистике настоятельно предостерегает от суеты. «Мы часто видим, как IT-команды сразу пытаются все исправить или восстановить резервные копии, прежде чем вообще поймут, что произошло».
Почему нельзя выдернуть штекер
Ланг-Рехт рекомендует отключить системы от Интернета, но не выключать их. Отключение сервера может означать «криминалистический суицид». «Это уничтожает ценные улики», — объясняет она. Многие злоумышленники оставляют следы в оперативной памяти (RAM). Если отключить питание, эта информация будет безвозвратно утеряна. Однако эти данные необходимы для понимания того, как хакеры перемещались по сети (Lateral Movement) и активны ли они до сих пор.
Правильный подход, по словам эксперта, — это изоляция. «Связи с поставщиками услуг, клиентами и поставщиками должны быть разорваны, чтобы не ставить под угрозу цепочку поставок». Только после того, как инфраструктура будет обеспечена изнутри, начинается собственно работа криминалистов. И она часто требует применения тяжелой артиллерии.
Масштабы кибератак не редко превосходят доступные локальные мощности хранения. Для создания криминалистических образов — точных 1:1 копий носителей данных — необходимо сохранить и проанализировать огромные объемы данных, по словам Ланг-Рехт. Но если нужно исследовать сотни серверов и тысячи клиентских устройств, ответственные лица столкнутся с физическими ограничениями.
Кто стоит за атаками?
Образ одинокого хакера в толстовке, сидящего в подвале среди коробок из-под пиццы, по словам Йоанны Ланг-Рехт, нереалистичен. «Мы имеем дело с высокопрофессиональными группами преступников», — уточняет она. Киберпреступность индустриализировалась. Бизнес-модель «Ransomware-as-a-Service» (RaaS) доминирует на рынке.
Группировки организованы как среднестатистические компании. У них часто есть даже отделы кадров, нанимающие разработчиков, и отделы маркетинга, которые продвигают бренд хакерской группы. Нередко у них даже установлен многоязычный клиентский сервис.
«Когда вступаешь в переговоры, ты фактически имеешь дело с первой и второй линией поддержки», — говорит Ланг-Рехт. Существуют прайс-листы, акции со скидками и системы тикетов.
Эта профессионализация делает атаки эффективными и особенно опасными, но также предоставляет возможности для переговоров. Для злоумышленников это бизнес, а не личная вендетта. Единственная цель — прибыль. Но именно здесь часто возникает моральная дилемма для пострадавших компаний: платить или не платить?
Дилемма выплаты выкупа
В то время как ведомства, такие как BSI (Федеральное ведомство по информационной безопасности Германии), рекомендуют принципиально не платить, реальность в кабинетах правления иная: когда на карту поставлено существование компании, мораль отходит на второй план. «В конечном итоге это чисто экономическое решение», — трезво заявляет она.
Руководителям она настоятельно советует не вступать в чат с вымогателями самостоятельно. Здесь эмоциям абсолютно не место. Лучше обратиться к специализированным посредникам. Целью должно быть сначала выиграть время, снизить требования и выяснить, способны ли злоумышленники вообще восстановить данные.
Особенно неприятной с точки зрения атакованной компании является так называемая двойная вымогательство. Злоумышленники не только шифруют данные, но и угрожают их опубликовать. Если жертва отказывается платить, преступники усиливают давление и объявляют о публикации конфиденциальных клиентских данных или конструкторских планов.
Домашние задания для C-level
«Основные точки входа — это слабые пароли, которые взламываются методом Brute-Force, незащищенные удаленные доступы (VPN/RDP) и классический фишинг», — резюмирует Ланг-Рехт. Пренебрежение «IT-гигиеной» открывает перед злоумышленниками все двери. К ним относятся, в частности, устаревшие системы, недостаточное управление патчами и отсутствие сегментации сети.
Если злоумышленник попал в сеть, он не должен иметь возможности перемещаться беспрепятственно. Однако во многих компаниях сети «плоские», говорит эксперт по криминалистике: кто попал внутрь, может добраться куда угодно. «Если злоумышленник проникает в один сегмент, он не должен иметь возможности зашифровать всю инфраструктуру», — требует Ланг-Рехт. Сегментация сети — самая эффективная мера по ограничению ущерба.
Фактор человека и организации
Однако техника — это лишь одна сторона медали. Эксперт подчеркивает, насколько важно быть готовым к чрезвычайной ситуации. Компания должна знать, к кому обращаться в случае ЧП. Договоры, гарантирующие наличие экспертной группы в случае атаки, для нее незаменимы.
Кроме того, должны быть четко определены зоны ответственности. В кризисной ситуации нет времени для споров о компетенции. Кто решает, отключать ли доступ в Интернет? Кто общается с клиентами, поставщиками и, возможно, прессой? Кто информирует уполномоченного по защите данных? «Обычно всегда есть человек, который берет на себя коммуникативное руководство», — наблюдает Ланг-Рехт. Эта роль должна быть не только определена, но и отработана — посредством учений штаба кризисного управления и симуляций чрезвычайных ситуаций.
Гонка вооружений с ИИ
Взгляд в хрустальный шар не предвещает облегчения. Игра в кошки-мышки между злоумышленниками и защитниками не только продолжается, но и выходит на новый уровень с использованием искусственного интеллекта. Злоумышленники используют ИИ для написания более качественных фишинговых писем и для более быстрого поиска уязвимостей. Защитники используют его для обнаружения аномалий в сетевом трафике в режиме реального времени.
Ланг-Рехт, несмотря на угрожающую ситуацию, остается оптимисткой. Абсолютной безопасности не существует, но можно усложнить жизнь злоумышленникам. Она рекомендует: инвестируйте в чистые резервные копии (офлайн!), сегментацию сети и обучение сотрудников, и имейте план на День X. (mb)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор –
