«Найбільша загроза — інсайдери». Що треба знати про кібербезпеку та захист даних від Dell

Кіберзлочинці шукають слабкі ланки в інфраструктурі замовника. Cлабкою ланкою може виявитися якась людина всередині організації. Найстрашніше для організації — інсайдери, і більшість атак відбувається за допомогою них.

Усе інше — це поступове проникнення, пошук слабких ланок у мережевій інфраструктурі та вразливостей у програмному забезпеченні. Кіберзлочинці можуть використовувати шкідливе програмне забезпечення, яке становить загрозу для даних. Рано чи пізно їм вдається проникнути в організацію – тоді вони шифрують не все одразу, а поступово, щоб залишатись непоміченими.

Звичайним інструментам та антивірусам, які використовує IТ-безпека, важко виявити поступове шифрування і видалення маленьких частин бази даних. Коли запускається певна аплікація, але якась її частина вже пошифрована і деякі рядки видалені – це ніхто не помітить.

Насамперед йдеться про всі топові банки України. Маленькі банки навряд чи когось цікавлять, але побіжно можуть зачепити і їх.

Частіше страждають великі банки, які утворюють фінансову систему України, державний сектор — усе, що пов’язано з грошима і безпекою країни.

Атаки на державний сектор більше спрямовані на те, щоб система перестала працювати. З початком повномасштабного вторгнення відбувається не так багато атак, коли люди намагаються вимагати гроші – вони просто намагаються знищити дані.

Насамперед йдеться про кібератаки. Методи хакерів та шифрувальників постійно оновлюються. Найчастіше – це намагання знищити або пошифрувати дуже важливу для тієї чи іншої компанії інформацію.

Найсерйозніші атаки йдуть на фінансовий та публічний сектор, зі спробами “покласти” фінансову систему і державні послуги. Насамперед намагаються знищити резервні копії, щоб у замовника не було можливості відновити дані. Саме це захищає та аналізує Dell.

Якщо є намагання знищити або зашифрувати дані організації — кібератака триває не один день, а тижні, місяці. Замовники часто бояться відверто сказати «Нас атакують», тому що це репутаційні ризики. Але протягом часу, коли відбувається атака, у фахівців є можливість виявити аномалії. Ми аналізуємо резервні копії і рекомендуємо робити це не рідше, ніж раз на два-три дні — тоді є досить велика ймовірність виявити атаку.

Фото: Dell Technologies

Стандарти ІТ-безпеки викладені у NIST Framework. Цей документ включає 5 пунктів:

• ідентифікація;
• захист;
• виявлення;
• реагування;
• відновлення.

ІТ-безпека практично кожної організації знає про чотири пункти, рівень спеціалістів ІТ-безпеки у нас на дуже високому рівні. Однак всі забувають про п’ятий пункт — відновлення.

Якщо щось не спрацювало, треба відновитися. А звідки відновлюватися, якщо все пошифровано? Перш за все, кіберзлочинці шифрують «бекпаки» для того, щоб організація не мала можливості відновити свою роботу.

Остання ланка відновлення — це те, що ми пропонуємо у рішенні Cyber Recovery. Немає ідеальних інструментів, але є можливість максимально знизити ризики. Рішення Dell допомагає виявити кіберзагрозу на ранніх стадіях і зрозуміти, як відновитися.

Фото: Dell Technologies

Сервери, системи збереження даних та системи резервного копіювання — це бойове середовище замовника, куди хакери, шифрувальники та інсайдери мають потенційний доступ. Це загальна мережа, яка завжди має вихід в Інтернет, і доступ до цього середовища може отримати будь-хто.

Для захисту та відновлення даних Dell пропонує кілька кроків:

• Перший крок — ізолювати резервні копії від будь-якого доступу.

Завдання полягає у тому, щоб у самій організації ніхто не міг доступитися до даних віддалено – тільки фізично. Спочатку будується закритий від зовнішніх середовищ кібербункер.

Доступ до цього бункера є тільки в декількох спеціалістів компанії. Керування відбувається зсередини бункера і доступ до нього контролюється камерами, відбитками пальців тощо.

• Другий крок — реплікувати дані, передати їх у бункер і захистити від видалення.

• Третій крок — проаналізувати дані. Це допоможе зрозуміти, які дані потрібно відновлювати, та запобігти майбутнім кібератакам.

Фото: Dell Technologies

У рамках рішення CyberSense від компанії-партнера Index Engine програма аналізує резервні копії без їхнього відновлення. Спеціальне програмне забезпечення може проаналізувати дані на предмет компрометації за понад 200 різними параметрами, але не відновлює дані. Програмне забезпечення виявляє ентропію, розширення файлів, вплив на бази даних та багато інших параметрів.

Однак дані не відновлюють з резервної копії, щоб не завдати шкоди ні бункеру, ні зовнішньому середовищу. Після аналітики CyberSense фахівці отримують повне розуміння ситуації, а замовник може дізнатися, чи все в порядку з його даними.

Можна зрозуміти, чи відбувається з даними щось підозріле. Не обов’язково всі дані мають бути видалені чи пошифровані — це може відбуватися з конкретною аплікацією чи базою.

Якщо дані почали шифруватися, це майже у 100% випадків призведе до того, що об’єм якоїсь бази даних або бекапу незвичайно збільшиться. Наприклад, якщо кожен день відбувається резервне копіювання даних і вони зростають на 5% на день, а потім різко на 50% або 100% — це моментальний сигнал для служби ІТ-безпеки. Вона може ще раз проаналізувати загрози.

Завдяки такому підходу у фахівців з'являється можливість працювати превентивно. Якщо кібератака станеться, буде зрозуміло, з якої резервної копії можна відновити всю інфраструктуру або конкретні дані.

Зауважу, що ми не антивірус — одразу нічого не лікуємо і не шукаємо заздалегідь відомі віруси. Наше завдання — спробувати виявити потенційну проблему. Часто це помітно вже на етапі впровадження рішення — компанія може не знати, що у них вже сидить якийсь шифрувальник.

Якщо замовника пошифрують, це призведе до видалення даних. Організація буде нести репутаційні та фінансові збитки.

Наприклад, буде знищена база даних кредитних карток, вся фінансова інформація з банку. А гроші клієнта на рахунку – це віртуальна історія. Якщо цієї інформації не буде, клієнт організації також зазнає великих збитків.

Хакерські атаки з Росії почалися ще до повномасштабного вторгнення, щонайменше з 2014 року, та активізувались восени 2021 року.

У російських хакерів мало «витонченості» у методах, але вони добре вміють знаходити шпигунів. Інсайдери — це дуже серйозна небезпека, яка погано контролюється.

Зовнішню загрозу можна знівелювати багатьма інструментами, а внутрішню загрозу, поки вона ще не трапилася — дуже складно вловити. Тому найбільша загроза це інсайдери.

Фото: Dell Technologies

• Проводити просвітницьку роботу серед працівників

Варто розповідати працівникам про кіберзагрозу та навчити її розпізнавати.

• Ізолювати дані

Ізоляція — це неможливість доступу сторонньої людини, яка не працює в ІТ-безпеці або ІТ-департаменті. Рішення про кібербункер дуже ефективне для цього, якщо правильно його побудувати.

• Щоб побудувати кібербункер, відведіть для цього окрему кімнату.

Це має бути закрите середовище, куди заходять дві людини з різних департаментів, які мають дуже відповідальну посаду в компанії.

• Подбайте про систему безпеки.

Встановіть відеокамери, пропускну систему через відбитки пальців.

• Регулюйте доступ до кімнати, аби було достеменно відомо, коли і для чого туди заходили працівники.

Цих людей можна на 98% виключити із ланки підозрюваних, а всі інші просто не мають доступу до кібербункера.

• Уповноважте двох перевірених працівників для роботи в бункері.

Доступ до кібербункера не може бути в однієї людини — це мають бути щонайменше двоє перевірених працівників, яких потрібно контролювати ззовні, і які зможуть контролювати одне одного.

Фото: Dell Technologies

Якщо рішення побудоване правильно, ми зможемо виявити 99% загроз і потім відновити дані.

У США Dell навіть бере грошову відповідальність у розмірі не менше мільйона доларів за те, що дані будуть відновлені або збережені — якщо рішення зроблено за всіма процедурами. Це показник для ринку. Якщо компанія настільки впевнена у своєму рішенні — воно надійне.

• Основною загрозою для фінансового та публічного сектора залишаються інсайдери – з такою загрозою ІТ-безпека компаній майже не може впоратись.

• Кібератаки загрожують репутації компаній, інтересам клієнтів та навіть безпеці держави.

• Сучасна система кібербезпеки у банків та компаній передбачає 5 пунктів, однак про останній всі забувають. Компанія Dell Technologies пропонує ключовий п’ятий крок у захисті даних — відновлення.

• Якщо превентивні методи захисту не спрацювали та атака відбулась, Cyber Recovery допоможе відновити дані, а аналітика CyberSense — дослідити резервні копії без їхнього відновлення і виявити, чи були уражені дані.

• Ефективне рішення від Dell — кібербункер, який допоможе ізолювати резервні копії від будь-якого доступу.

• Захист даних від кіберзлочинців актуальний для всіх великих бізнесів, банків, публічного сектора — Dell допомагає захистити ваші дані.

• Детальніше про послуги із захисту даних можна дізнатися, заповнивши онлайн-форму для зворотного зв‘язку та отримання консультації фахівців.