Когда вы читаете о том, что кибергруппировка украла миллиарды из очередного банка, создается ощущение, что малому бизнесу бояться нечего. Но это иллюзия. На самом деле в интернете происходят атаки самых разных масштабов, и в качестве целей «попроще», хакеры выбирают именно мелкие компании.
Где кроются бреши защиты?
Причины, почему хакеры нападают на представителей бизнеса очень просты – это хороший способ заработать деньги. В случае, если компания небольшая, куш будет скромным, но зато при этом не придется преодолевать несколько эшелонов защиты. Как показывает практика, стандартное программное обеспечение, с которым вы работаете каждый день, имеет достаточно уязвимостей, чтобы пропустить злоумышленника и позволить ему хозяйничать на вашем компьютере.
Особенно интересными для злоумышленников оказываются бухгалтерские системы. И это не удивительно, ведь с одной стороны это дает шанс получить доступ к счетам компании-жертвы, а с другой – парализовать работу бухгалтеров и требовать выкуп за восстановление систем.
В большинстве небольших компаний используется бухгалтерия 1С, а также операционная система Microsoft Windows. Оба компонента требуют постоянных обновлений, так как хакеры находят в них бреши безопасности каждый божий день. Но если системный администратор приходит в офис лишь на пару часов и не ежедневно, то для злоумышленника остается достаточно лазеек, чтобы попробовать украсть важную и ценную информацию.
Нередко проблемы оказываются еще более банальными, а инцидентов можно было бы избежать, если пригласить вовремя специалиста для анализа состояния и настройки систем и самим сотрудникам научиться следовать нескольким простым правилам. Об этом свидетельствуют три следующих примера из нашей практики.
База данных… пропала!
Представьте себе ситуацию: как-то утром бухгалтер загружает систему, а она попросту не загружается. Удаленный администратор начинает искать базу данных, а вместо нее – файл с текстом: «Если вы хотите получить свою базу данных обратно, заплатите ХХХ рублей». Администратор не может ничего сделать, директор начинает переговоры с вымогателем, компания решает обратиться к своему партнеру-интегратору, чтобы понять, какие выходы возможны из сложившейся ситуации.
После простого анализа выяснилось, что хакер и не собирался возвращать базу. Он даже не скачивал ее, а просто стер. К счастью, резервная копия делалась только накануне, и хакер просто не заметил ее на диске.
Бухгалтеры подключались к системе из дома. Пароль вида «qwerty», что не удивительно, не устоял перед атакой.
Чтобы таких неприятностей больше не происходило, мы помогли поменять права доступа – до этого все сотрудники имели со своих компьютеров полный доступ ко всему на сервере, что совершенно развязывает руки преступнику, а также настроили регулярное резервное копирование на другой сервер – так что, если даже база снова пропадет, ее можно будет легко восстановить.
Бухгалтерам выдали токены для двухфакторной аутентификации. Это требует минимальных затрат, а защищенность возрастает в разы.
Кто-то зашел на наш сервер…
В другой компании охотники за базами данных 1С провели очень интересный взлом. Почему интересный?
Дело в том, что им удалось попасть на сервер, размещенный в одном из центров обработки данных. А на этом сервере работало много разных полезных программ и сервисов.
Если бы хакер нашел на этом сервере базу 1С, то ситуация была бы такой же как в предыдущем примере. Но он ее не нашел, и установил на сервер ПО для перебора паролей. Сервер стал площадкой для атаки на другие компании.
Когда мы анализировали логи вредоносного ПО, они показали неплохой улов злоумышленника: в короткий срок был получен доступ к пяти серверам с паролями вроде «12345», «buh», «admin» и т.п.!
При этом на сервере функционировала критичная бизнес-система, но у хакера не хватило времени или компетенций, чтобы разобраться, какая золотая рыбка попала в его сети.
При расследовании сначала было не ясно, как был осуществлен взлом, потому что в компании была принята очень жесткая парольная политика. Оказалось, что при установке сервера администратор не позаботился о том, чтобы удалить тестовую учетную запись и непрошенный гость без труда проник внутрь компании.
К сожалению, зачастую мы принимаемся за настройку систем защиты уже после разбора «пепелища», которое осталось после крупного инцидента. В этот раз компании повезло – отделались легким испугом.
Письма с вложениями уходят «налево»
Третий показательный пример злонамеренной активности был обнаружен в процессе внедрения DLP-системы, контролирующей утечки конфиденциальной информации по вине работников организации. Специалисты обнаружили, что с почтовых ящиков компании постоянно уходят сообщения на какой-то подозрительный адрес, вроде abrakadabra@hotmail.com.
При дальнейшем изучении стало очевидно, что «налево» уходят копии писем, содержащих документы определенного типа, связанные с налоговой отчетностью, платежами и договорами.
Первая мысль была про инсайдера, но технический анализ показал, что копии писем уходят в то же мгновение, как их получают или отправляют сотрудники. Автоматизация на лицо.
Уходили не все письма. Принцип отбора интересной для злоумышленников информации после передачи аналитического отчета руководству организации оказалось выявить не сложно. Компания находилась в стадии решения определенного финансового спора на крупную сумму денег. Все письма содержали информацию только по этому вопросу. Очевидно, взлом был заказан второй стороной конфликта. Кейс интересен тем, что взлом был выявлен системой, предназначенной для контроля собственных сотрудников, которые к данному инциденту никакого отношения не имели.
Заключение
Практика показывает, что очень много компаний среднего и малого бизнеса оказываются в зоне риска хакерских атак просто потому, что в них могут отсутствовать даже самые базовые меры ИБ: все имеют доступ ко всему, подключаются из дома с паролем «123», бекапы не делаются, а антивирусы не стоят на серверах, «чтобы не тормозило».
Одних регламентов тут недостаточно. Всем, например, известно, что сотрудники должны выбирать сложные пароли, но введение правила не гарантирует его исполнения, требуется и система контроля, и в общем – централизованного подхода к вопросам информационной безопасности у самого руководства компаний.
Начать дискуссию