Petya: только одна из возможных кибератак

1 комментировать
27 июня 2017, ровно через полтора месяца после масштабной атаки вируса-шифровальщика WannaCry, в Украине была зарегистрирована новая атака

На этот раз с использованием вредоносного программного обеспечения (ПО) шифровальщика Petya (или Nyetya, как впоследствии было идентифицировано это ПО в связи с определенными отличиями от первоочередного варианта).

Однако география поражения Petya/Nyetya ни была ограничена только Украиной: в течение суток оно распространилось по всему миру и, учитывая карту, которую опубликовали 28 июня специалисты McAfee, больше всего пострадали США.

Принцип действия и задачи вируса Petya/Nyetya

Принцип действия Petya/Nyetya основан на заражении главной загрузочной записи (MBR) жесткого диска и дальнейшего шифрования данных на нем. После успешного шифрования на экран выводится окно с сообщением, в котором требуется уплатить выкуп в $300 в специальной криптовалюте - биткоинах.

Однако сейчас почти со 100% вероятностью можно утверждать, что требование уплатить выкуп в $300 за расшифровку данных было приманкой для СМИ и маскировкой под криминальную активность крипто-вымогателей. На самом деле цели финансового обогащения не было, и предоставление информации для расшифровки данных не планировалось. Основной задачей Petya/Nyetya было массовое выведение из строя компьютерных систем, то есть – атака DoS (Denial of Service). Несмотря на то, что по данным Microsoft количество инфицированных компьютеров в Украине – не менее 12500, а пострадали от атаки государственные и коммунальные учреждения, объекты критической инфраструктуры, мобильные операторы и банки, можно говорить, что атака, к сожалению, была крайне успешной.

Меры безопасности

Мы не будем останавливаться на функциональности, способах распространения, индикаторах компрометации и возможности отсоединения от этого вредоносного программного обеспечения. Эта информация уже в достаточном объеме доступна на многочисленных сайтах вендоров, экспертов и лабораторий по кибербезопасности. Поговорим о мерах безопасности, внедрение которых значительно усложнило бы поражение и распространение Petya/Nyetya, а именно:

1. Проведение регулярных тренингов для сотрудников организации для повышения их осведомленности по кибербезопасности, основанных на демонстрации практических примеров возможных атак на инфраструктуру компании с использованием методов социальной инженерии.

2. Внедрение эффективного процесса управления уязвимостями и обновлениями в програмном обеспечении для поддержки актуальных версий ПО на всех узлах инфраструктуры организации.

3. Применение жесткой сегментации сети до критических элементов ИТ-инфраструктуры.

4. Внедрение процесса управления привилегированными учетными записями, в частности локальными администраторами, администраторами домена и тому подобное.

Однако опыт показывает, что при определенном стечении обстоятельств даже этого бывает недостаточно. Для максимально быстрого и безболезненного восстановления инфраструктуры после возможного инфицирования вредоносным ПО дополнительно необходимы следующие меры безопасности:

1. Внедрение процесса резервного копирования критичных данных, основанного на определенных значениях RTO (промежуток времени, в течение которого инфраструктура может оставаться недоступной в случае инцидента), RPO (максимальный период времени, в течение которого могут быть потеряны данные в результате инцидента) и регулярного тестирования резервных копий на возможность восстановления. Стоит обратить внимание, что наиболее защищенным методом хранения резервных копий является технология записи данных на удаленный носитель, поскольку это дает возможность избежать заражения резервных данных.

2. Создание, поддержка в актуальном состоянии и регулярное тестирование плана реагирования на инциденты кибербезопасности и плана обеспечения непрерывности бизнеса. Оперативная и слаженная реакция сотрудников организации на инцидент позволит максимально быстро локализовать зону поражения и минимизировать ущерб от инфицирования вирусом.

К сожалению, опыт Petya/Nyetya показал, что в основном из-за инфицирования нескольких рабочих станций новыми образцами вирусов вскоре вся инфраструктура организации становилась пораженной. Этот факт свидетельствует о том, что в пострадавших организациях не были внедрены эффективные процессы реагирования.

Комплексный подход к управлению информационной безопасностью

Важно отметить, что атака с помощью вредоносного ПО – это только один из многих возможных векторов атаки киберпреступников. Для максимальной защиты организации от киберугроз необходимо применять комплексные подходы к управлению информационной безопасностью, в частности:

1. Внедрение в организации международного стандарта в области защиты информации ISO/IEC 27001:2013, в котором собраны описания лучших мировых практик. ISO 27001:2013 устанавливает требования к системе управления информационной безопасностью для эффективной защиты своих информационных ресурсов.

2. Внедрение стандарта в сфере непрерывности ISO 22301:2012, направленного на уменьшение рисков прерывания бизнеса и негативных последствий такого прерывания, восстановление бизнеса до необходимого уровня в определенной последовательности и с заданным интервалом времени.

3. Проведение внешних аудитов текущего состояния информационной безопасности, которые смогут дать рекомендации по устранению выявленных недостатков и информацию для принятия решения по дальнейшему развитию ИТ/ИБ процессов в организации.

4. Регулярное проведение тестов на проникновение, позволяющие оценить безопасность компьютерных систем и сетей организации средствами моделирования реальной атаки киберпреступников, оценить возможность осуществления и спрогнозировать экономические потери в результате успешного осуществления кибератаки.

«Опинион дилер» с Юлией МакГаффи

Каждую пятницу главред NV.ua о том, что, по её мнению, нельзя пропустить: самые интересные и важные материалы на сайте за неделю.

Подписаться на рассылку
Ukraine-2020

Читайте срочные новости и самые интересные истории в Viber и Telegram Нового Времени.

Комментарии

1000

Правила комментирования
Показать больше комментариев
Если Вы хотите вести свой блог на сайте Новое время Бизнес, напишите, пожалуйста, письмо по адресу: kolonka@nv.ua

Эксперты ТОП-10

Читайте на НВ style

Последние новости

опрос

Погода
Погода в Киеве

влажность:

давление:

ветер: