«Наибольшая угроза — инсайдеры». Что нужно знать о кибербезопасности и защите данных от Dell

Киберпреступники ищут слабые звенья в инфраструктуре заказчика. Слабым звеном может оказаться некий человек внутри организации. Самое страшное для организации — инсайдеры, и большинство атак происходит с помощью их.

Все остальное — постепенное проникновение, поиск слабых звеньев в сетевой инфраструктуре и уязвимостей в программном обеспечении. Киберпреступники могут использовать вредоносное программное обеспечение, представляющее угрозу для данных. Рано или поздно им удается проникнуть в организацию — тогда они шифруют не сразу, а постепенно, чтобы оставаться незамеченными.

Обычным инструментам и антивирусам, использующим IТ-безопасность, трудно выявить постепенное шифрование и удаление маленьких частей базы данных. Когда запускается определенная аппликация, но какая-то ее часть уже расшифрована и некоторые строки удалены – это никто не заметит.

В первую очередь речь идет обо всех топовых банках Украины. Маленькие банки вряд ли кого-то интересуют, но вскользь могут задеть и их.

Чаще страдают крупные банки, образующие финансовую систему Украины, государственный сектор — все, что связано с деньгами и безопасностью страны.

Атаки на государственный сектор больше направлены на то, чтобы система перестала работать. С началом полномасштабного вторжения происходит не так много атак, когда люди пытаются потребовать деньги они просто пытаются уничтожить данные.

В первую очередь речь идет о кибератаках. Методы хакеров и шифровальщиков постоянно обновляются. Чаще всего это попытка уничтожить или пошифровать очень важную для той или иной компании информацию.

Самые серьезные атаки идут на финансовый и публичный сектор, с попытками «положить» финансовую систему и государственные услуги. В первую очередь пытаются уничтожить резервные копии, чтобы у заказчика не было возможности восстановить данные. Это защищает и анализирует Dell.

Если есть попытка уничтожить или зашифровать данные организации — кибератака длится не один день, а недели, месяцы. Заказчики часто боятся откровенно сказать: «Нас атакуют», потому что это репутационные риски. Но в течение времени, когда происходит атака, у специалистов есть возможность выявить аномалии. Мы анализируем резервные копии и рекомендуем делать это не реже чем раз в два-три дня — тогда достаточно велика вероятность обнаружить атаку.

Фото: Dell Technologies

Стандарты ІТ-безопасности изложены в NIST Framework. Этот документ включает 5 пунктов:

• идентификация;
• защита;
• обнаружение;
• реагирование;
• восстановление.

ІТ-безопасность практически каждой организации знает о четырех пунктах, уровень специалистов ІТ-безопасности у нас на очень высоком уровне. Однако все забывают о пятом пункте — восстановлении.

Если что-то не сработало, нужно восстановиться. А откуда восстанавливаться, если все пошифровано? Прежде всего киберпреступники шифруют «бэкпаки» для того, чтобы организация не имела возможности возобновить свою работу.

Последнее звено восстановления это то, что мы предлагаем в решении Cyber Recovery. Нет идеальных инструментов, но есть возможность максимально снизить риски. Решение Dell помогает выявить киберугрозу на ранних стадиях и понять, как восстановиться.

Фото: Dell Technologies

Серверы, системы хранения данных и системы резервного копирования — это боевая среда заказчика, куда хакеры, шифровщики и инсайдеры имеют потенциальный доступ. Это общая сеть, которая всегда имеет выход в интернет, и доступ к этой среде может получить любой.

Для защиты и восстановления данных Dell предлагает несколько шагов:

• Первый шаг — изолировать резервные копии от любого доступа.

Задача состоит в том, чтобы в самой организации никто не мог получить доступ к данным удаленно — только физически. Сначала строится закрытый от внешних сред кибербункер.

Доступ к этому бункеру есть только у нескольких специалистов компании. Управление происходит изнутри бункера, и доступ к нему контролируется камерами, отпечатками пальцев и т. п.

• Второй шаг — реплицировать данные, передать их в бункер и защитить от удаления.

• Третий шаг — проанализировать данные. Это поможет понять, какие данные нужно восстанавливать, и предотвратить будущие кибератаки.

Фото: Dell Technologies

В рамках решения CyberSense от компании-партнера Index Engine программа анализирует резервные копии без восстановления. Специальное программное обеспечение может проанализировать данные на предмет компрометации по более чем 200 различным параметрам, но не восстанавливает данные. Программное обеспечение обнаруживает энтропию, расширение файлов, влияние на базы данных и многие другие параметры.

Однако данные не восстанавливают из резервной копии, чтобы не причинить вреда ни бункеру, ни внешней среде. После аналитики CyberSense специалисты получают полное понимание ситуации, а заказчик может узнать, все ли в порядке с его данными.

Можно понять, происходит ли с данными что-то подозрительное. Не обязательно все данные должны быть удалены или пошифрованы — это может происходить с конкретной аппликацией или базой.

Если данные начали шифроваться, это почти в 100% случаев приведет к тому, что объем базы данных или бэкапа необычно увеличится. К примеру, если каждый день происходит резервное копирование данных и они растут на 5% в день, а затем резко на 50% или 100% — это моментальный сигнал для службы ІТ-безопасности. Она может еще раз проанализировать угрозы.

Благодаря такому подходу у профессионалов возникает возможность работать превентивно. Если кибератака произойдет, будет ясно, с какой резервной копии можно восстановить всю инфраструктуру или конкретные данные.

Замечу, что мы не антивирус — сразу ничего не лечим и не ищем известные вирусы. Наша задача — попытаться выявить потенциальную проблему. Часто это заметно уже на этапе внедрения решения — компания может не знать, что у них уже сидит какой-то шифровальщик.

Если заказчика пошифруют, это приведет к удалению данных. Организация будет нести репутационный и финансовый ущерб.

Например, будет уничтожена база данных кредитных карт, вся финансовая информация из банка. А деньги клиента на счету — это виртуальная история. Если этой информации не будет, клиент организации также несет большие убытки.

Хакерские атаки из России начались еще до полномасштабного вторжения, по меньшей мере, с 2014 года, и активизировались осенью 2021 года.

У российских хакеров мало «утонченности» в методах, но они хорошо умеют находить шпионов. Инсайдеры — это очень серьезная опасность, которая плохо контролируется.

Внешнюю угрозу можно нивелировать многими инструментами, а внутреннюю угрозу, пока она еще не случилась — очень сложно уловить. Поэтому самая большая угроза — это инсайдеры.

Фото: Dell Technologies

• Проводить просветительскую работу среди работников

Следует рассказывать работникам о киберугрозе и научить ее распознавать.

• Изолировать данные

Изоляция — это невозможность доступа постороннего человека, не работающего в ІТ-безопасности или ІТ-департаменте. Решение о кибербункере очень эффективно для этого, если правильно его построить.

• Чтобы построить кибербункер, отведите отдельную комнату.

Это должна быть закрытая среда, куда заходят два человека из разных департаментов, имеющих очень ответственный пост в компании.

• Позаботьтесь о системе безопасности.

Установите видеокамеры, пропускную систему через отпечатки пальцев.

• Регулируйте доступ в комнату, чтобы было точно известно, когда и зачем туда заходили работники.

Этих людей можно на 98% исключить из звена подозреваемых, а все остальные просто не имеют доступа к кибербункеру.

• Уполномочьте двух сотрудников для работы в бункере.

Доступ к кибербункеру не может быть у одного человека — это должны быть по меньшей мере два проверенных сотрудника, которых нужно контролировать извне и которые смогут контролировать друг друга.

Фото: Dell Technologies

Если решение построено верно, мы сможем выявить 99% угроз и затем восстановить данные.

В США Dell даже берет денежную ответственность в размере не менее миллиона долларов за то, что данные будут восстановлены или сохранены — если решение сделано по всем процедурам. Это показатель для рынка. Если компания настолько уверена в своем решении, оно надежно.

• Основной угрозой финансовому и публичному сектору остаются инсайдеры — с такой угрозой ІТ-безопасность компаний практически не может справиться.

• Кибератаки угрожают репутации компаний, интересам клиентов и безопасности государства.

• Современная система кибербезопасности у банков и компаний предполагает 5 пунктов, однако о последнем все забывают. Компания Dell Technologies предлагает ключевой пятый шаг в защите данных — восстановление.

• Если превентивные методы защиты не сработали и атака произошла, Cyber Recovery поможет восстановить данные, а аналитика CyberSense — исследовать резервные копии без их восстановления и обнаружить, были ли поражены данные.

• Эффективное решение Dell — кибербункер, который поможет изолировать резервные копии от любого доступа.

• Защита данных от киберпреступников актуальна для всех крупных бизнесов, банков, публичного сектора — Dell помогает защитить ваши данные.

• Более подробно об услугах по защите данных можно узнать, заполнив онлайн-форму для обратной связи и получения консультации специалистов.