При обнаружении кибератаки решающее значение имеют быстрые действия для минимизации ущерба, локализации нарушения и восстановления работы. После атаки выполните следующие основные шаги:
Содержит повреждения. Удалите зараженные компьютеры, серверы или сегменты сети из сети, чтобы предотвратить дальнейшее распространение. Отсоедините кабели Ethernet, отключите беспроводные сети или используйте правила брандмауэра для сдерживания атаки. Отключите скомпрометированные учетные записи и учетные данные, а также сбросьте пароли для затронутых учетных записей. При необходимости отзовите токены доступа и ключи API. Используйте правила брандмауэра для блокировки подключений с известных IP-адресов злоумышленников и прерывания любых несанкционированных сеансов удаленного доступа.
Обратитесь к своему поставщику управляемых услуг. Многие компании предлагают помощь в случае нарушения безопасности. Если у вас есть поставщик управляемых услуг, который может помочь вашей внутренней группе, свяжитесь с ним как можно скорее.
Определите тип атаки. Обращайте внимание на неожиданное поведение системы, несанкционированный доступ или требования выкупа. Определите, является ли это вредоносной программой, программой-шантажистом, фишингом, DDoS-атакой или утечкой данных.
Определите, скомпрометированы ли данные. Просмотрите журналы на предмет попыток несанкционированного доступа. Проверьте, не была ли украдена конфиденциальная информация о клиентах, финансовая или частная информация. Если необходимо восстановить данные, используйте для восстановления чистые, неповрежденные резервные копии. Перед повторным развертыванием убедитесь, что резервные копии не содержат вредоносных программ.
Оцените целостность системы. Определите, какие системы или приложения затронуты. Ищите изменения файлов, удаленные записи или измененные разрешения. Выявляйте вредоносные процессы и завершайте их, чтобы предотвратить дальнейший ущерб. Удалите вредоносные программы и закройте несанкционированный доступ. Используйте обновленные антивирусные и антивредоносные средства для сканирования и очистки зараженных устройств. Сбросьте настройки системы и удалите неавторизованные учетные записи.
Уведомите внутренние группы и органы власти. Сообщите об инциденте ИТ-отделу, отделу безопасности, руководству и юридическому отделу. Если персональные данные были скомпрометированы, уведомите регулирующие органы, такие как Общий регламент по защите данных (GDPR), Закон о переносимости и подотчетности медицинского страхования (HIPAA), органы по соблюдению требований PCI-DSS, как того требует закон.
Сохраните свидетельства для судебного анализа. Не удаляйте журналы и не перезагружайте систему немедленно. Сделайте снимки системы и файлы журналов для дальнейшего исследования.
Устраните уязвимости и укрепите безопасность. Примените последние исправления безопасности и обновления программного обеспечения. Проверьте правила брандмауэра, настройки безопасности электронной почты и элементы управления доступом.
Проведите последующий анализ инцидента. Определите основные причины и задокументируйте извлеченные уроки. Определите, какие меры безопасности не сработали и как их улучшить.
Для чего нужен надежный план реагирования на инциденты
План реагирования на инциденты необходим для минимизации простоев и финансовых потерь за счет сокращения сбоев в работе и предотвращения потери доходов. Он также способствует соблюдению нормативных требований, поскольку во многих отраслях требуется документированный план реагирования на инциденты для соответствия таким стандартам, как GDPR, HIPAA, NIST и PCI-DSS. Хорошо выполненный план реагирования также защищает репутацию и помогает сохранить доверие клиентов, способствуя быстрому сдерживанию угроз, а также предотвращая утечки данных и ущерб бренду. Это повышает готовность и время реагирования, позволяя командам быстро и эффективно реагировать в случае возникновения нарушения. Кроме того, постоянный пересмотр и совершенствование плана реагирования на инциденты укрепляют безопасность организации, помогая предотвращать будущие атаки.
Последствия кибератак распространяются далеко за рамки отдельных бизнесов и оказывают существенное влияние на мировую экономику. Масштабные атаки на финансовые учреждения, цепочки поставок и критически важную инфраструктуру могут привести к убыткам в миллиарды долларов, нарушить работу отраслей и замедлить экономический рост. Например, атаки программ-шантажистов на системы здравоохранения или производственные предприятия приводят к остановкам работы, задержкам в обслуживании и увеличению расходов. Малые предприятия, зачастую менее подготовленные к борьбе с киберугрозами, могут понести непоправимый финансовый ущерб, что приведет к потере рабочих мест и снижению доверия рынка. Растущая стоимость мер кибербезопасности заставляет компании и правительства направлять больше ресурсов на оборону, а не на инновации и рост, что в конечном итоге сказывается на экономической производительности.
Помимо финансового ущерба, кибератаки имеют серьезные социальные последствия, подрывая доверие общественности к цифровым системам и институтам. При краже персональных данных люди сталкиваются с кражей личных данных, финансовым мошенничеством и нарушением конфиденциальности, что приводит к психологическому стрессу и потере доверия к веб-службам. Атаки на объекты жизнеобеспечения, такие как электросети или больницы, могут нарушить повседневную жизнь, поставить под угрозу общественную безопасность и даже унести жизни. Более того, кибервойна и кампании по дезинформации, проводимые на национальном уровне, могут дестабилизировать правительства, влиять на выборы и сеять раздор среди населения. По мере роста цифровой зависимости киберугрозы представляют все большую угрозу глобальной стабильности, поэтому надежные меры кибербезопасности становятся необходимыми для обеспечения как экономического процветания, так и общественного благополучия.
Вот несколько известных кибератак:
Атака программы-шантажиста WannaCry. В 2017 году масштабная атака программ-шантажистов, использовавших уязвимость Microsoft Windows, быстро распространилась более чем в 150 странах, затронув больницы, предприятия и государственные учреждения. Наиболее заметными жертвами стали Национальная служба здравоохранения Великобритании, FedEx, Renault и Telefónica. Кибератака нанесла ущерб в размере 4 млрд USD по всему миру.
Утечка данных Equifax. В 2017 году киберпреступники воспользовались неисправленной уязвимостью программного обеспечения, в результате чего была раскрыта конфиденциальная информация 147 миллионов человек. Украденные данные включали номера социального страхования, данные кредитных карт и личные идентификационные номера. Equifax выплатила компенсацию в размере 700 миллионов USD за ущерб и услуги по кредитному мониторингу. Эта атака привела к ужесточению законов о защите данных и усилению контроля за кредитными бюро.
Атака на цепочку поставок SolarWinds. В 2020 году киберпреступники, нацеленные на правительственные учреждения США и компании из списка Fortune 500, взломали программное обеспечение Orion компании SolarWinds, внедрив бэкдор, используемый для слежки за сетями. Среди жертв были Министерство внутренней безопасности США, Майкрософт и Intel.
Атака программы-шантажиста Colonial Pipeline. В 2021 году компания Colonial Pipeline Company подверглась нападению, в результате чего ей пришлось прекратить всю свою деятельность. Чтобы восстановить компьютеризированную систему, используемую для управления нефтепроводами на юго-востоке США, компания Colonial Pipeline заплатила киберпреступникам выкуп в размере 75 биткоинов (что на тот момент было эквивалентно 4,4 млн USD). Эта кибератака стала крупнейшей в истории США, направленной на нефтяную инфраструктуру, и выявила уязвимости в энергетическом и транспортном секторах, что потребовало принятия более жестких мер кибербезопасности.
Криптовалюта. В марте и апреле 2022 года кибератакам подверглись три разных протокола кредитования. За одну неделю киберпреступники похитили криптовалюту на сумму 15,6 млн USD у Inverse Finance, 625 млн долларов США у игровой сети Ronin Network и 3,6 млн USD у Ola Finance.
В последние годы кибератаки стали более частыми, изощренными и наносящими финансовый ущерб, а программы-шантажисты стали одной из самых серьезных угроз. Злоумышленники все чаще нацеливаются как на отдельных лиц, так и на организации, шифруя критически важные данные и требуя крупные выкупы. Громкие атаки программ-шантажистов на больницы, финансовые учреждения и инфраструктурные компании нарушили работу и привели к серьезным финансовым потерям. Киберпреступники также перешли к тактике двойного вымогательства, не только блокируя данные, но и угрожая утечкой конфиденциальной информации, если выкуп не будет выплачен. Распространение программ-шантажистов как услуг еще больше усилило этот тренд, позволив даже неопытным киберпреступникам проводить атаки с использованием готовых инструментов для вымогательства.
Еще одним тревожным трендом является растущая изощренность фишинговых схем и спонсируемых государством кибератак. Современные фишинговые кампании применяют искусственный интеллект, дипфейки и психологические уловки, чтобы убедить даже самых внимательных людей раскрыть конфиденциальную информацию. Эти атаки часто обходят традиционные меры безопасности, что приводит к краже учетных данных и утечке данных. Между тем, кибератаки, спонсируемые государством, стали более распространенными и нацелены на критически важную инфраструктуру, такую как электросети, водоочистные сооружения и правительственные учреждения. Эти атаки, часто приписываемые национальным государствам, стремящимся подорвать экономику конкурентов или собрать разведывательную информацию, подчеркивают необходимость более жесткой политики кибербезопасности, усовершенствованных систем обнаружения угроз и международного сотрудничества для защиты от кибервойны.
Следите за новостями Microsoft Security