У разі виявлення кібератаки швидкі дії мають вирішальне значення для мінімізації збитків, локалізації порушення та відновлення роботи. Після атаки виконайте такі ключові кроки:
Локалізуйте шкоду. Вилучіть скомпрометовані комп’ютери, сервери або сегменти з мережі, щоб запобігти подальшому поширенню атаки. Відключіть кабелі Ethernet, вимкніть бездротові мережі або використовуйте правила брандмауера для стримування атаки. Вимкніть скомпрометовані облікові записи та облікові дані, а також скиньте паролі для уражених облікових записів. За необхідності відкличте токени доступу та ключі API. Використовуйте правила брандмауера для блокування з’єднань з відомих IP-адрес зловмисників і закривайте будь-які несанкціоновані сеанси віддаленого доступу.
Зверніться до свого постачальника керованих служб. Багато компаній пропонують допомогу в разі порушення безпеки. Якщо у вас є постачальник керованих служб, який допомагає вашій внутрішній команді, зв’яжіться з ним якомога швидше.
Визначте тип атаки. Звертайте увагу на несподівану поведінку системи, несанкціонований доступ або вимоги викупу. Визначте, чи це шкідливе програмне забезпечення, зловмисна програма з вимогою викупу, фішинг, DDoS-атака або витік даних.
Визначте, чи було скомпрометовано дані. Перегляньте журнали на предмет несанкціонованих спроб доступу. Перевірте, чи не було викрадено конфіденційну інформацію про клієнтів, фінансову або службову інформацію. Якщо необхідно відновити дані, використовуйте для цього чисті, неушкоджені резервні копії. Перед повторним розгортанням переконайтеся, що резервні копії не містять зловмисного програмного забезпечення.
Оцініть цілісність системи. Визначте, які системи або програми постраждали. Виявіть зміни у файлах, видалені записи або змінені дозволи. Визначте шкідливі процеси та зупиніть їх, щоб запобігти подальшому пошкодженню. Видаліть зловмисні програми та забороніть несанкціонований доступ. Використовуйте оновлені програми захисту від вірусів і зловмисного програмного забезпечення для перевірки та очищення заражених пристроїв. Скиньте конфігурацію системи та видаліть неавторизовані облікові записи.
Повідомте внутрішні команди та органи влади. Повідомте про інцидент працівникам ІТ-відділу, служби безпеки, керівництву та юристам. Якщо персональні дані було скомпрометовано, повідомте про це регуляторні органи, що відповідають за дотримання Генерального регламенту із захисту персональних даних (GDPR), Закону про звітність та безпеку медичного страхування (HIPAA), стандарту захисту інформації в галузі платіжних карток (PCI DSS) тощо, як того вимагає законодавство.
Збережіть докази для судової експертизи. Не видаляйте журнали та не перезавантажуйте системи негайно. Зробіть знімки системи та файли журналів для подальшого розслідування.
Виправте вразливості та посильте систему безпеки. Застосуйте останні виправлення безпеки та оновлення програмного забезпечення. Перегляньте правила брандмауера, налаштування безпеки електронної пошти та керування доступом.
Проведіть аналіз після інциденту. Визначте першопричини та задокументуйте отримані висновки. Визначте, які заходи безпеки не спрацювали і як їх покращити.
Навіщо потрібен надійний план реагування на інциденти
План реагування на інциденти має велике значення для мінімізації простоїв і фінансових втрат за рахунок зменшення операційних збоїв і запобігання втраті доходів. Він також підтримує дотримання нормативних вимог, оскільки багато галузей вимагають наявності задокументованого плану реагування на інциденти, щоб відповідати таким стандартам, як GDPR, HIPAA, NIST і PCI-DSS. Добре розроблений план реагування також захищає вашу репутацію та допомагає зберегти довіру клієнтів, підтримуючи швидке стримування загроз, запобігаючи витоку даних та шкоді для бренду. Це підвищує готовність та час реагування, дозволяючи командам швидко та ефективно реагувати на порушення. Крім того, постійний перегляд і вдосконалення плану реагування на інциденти зміцнюють безпеку організації, допомагаючи запобігти майбутнім атакам.
Кібератаки мають далекосяжні наслідки, які виходять за межі окремих підприємств і суттєво впливають на світову економіку. Масштабні атаки на фінансові установи, ланцюжки постачання та критично важливу інфраструктуру можуть призвести до мільярдних збитків, порушення роботи цілих галузей та уповільнення економічного зростання. Наприклад, атаки зловмисних програм і вимогою викупу на системи охорони здоров’я або виробничі підприємства призводять до зупинки роботи, затримок у наданні послуг і збільшення витрат. Малі компанії, часто менш підготовлені до протидії кіберзагрозам, можуть зазнати непоправної фінансової шкоди, що призведе до втрати робочих місць і зниження довіри на ринку. Зростання витрат на заходи з кібербезпеки змушує компанії та урядові організації виділяти більше ресурсів на захист, а не на інновації та зростання, що в кінцевому підсумку впливає на економічну продуктивність.
Окрім фінансових збитків, кібератаки мають серйозні соціальні наслідки, підриваючи довіру суспільства до цифрових систем та інституцій. Коли персональні дані викрадають, люди стикаються з крадіжкою особистих даних, фінансовим шахрайством і порушенням приватності, що призводить до психологічного стресу і втрати довіри до онлайнових служб. Атаки на об’єкти життєзабезпечення, такі як електромережі або лікарні, можуть порушити повсякденне життя, загрожувати громадській безпеці і навіть життю людей. Більше того, кібервійни та дезінформаційні кампанії на рівні держав можуть дестабілізувати роботу урядів, впливати на результати виборів і сіяти розбрат серед населення. Зі зростанням залежності від цифрових технологій кіберзагрози становлять дедалі більший ризик для глобальної стабільності, що робить надійні заходи з кібербезпеки необхідними для захисту як економічного добробуту, так і соціального благополуччя.
Декілька відомих кібератак:
Атака зловмисної програми з вимогою викупу WannaCry. У 2017 році масована атака зловмисної програми з вимогою викупу, яка використовувала вразливість у Microsoft Windows, швидко поширилася більш ніж на 150 країн, вразивши лікарні, підприємства та державні установи. Серед відомих жертв були Національна служба охорони здоров’я Великої Британії, FedEx, Renault та Telefónica. Кібератака завдала збитків на суму 4 млрд доларів США по всьому світу.
Витік даних Equifax. У 2017 році кіберзлочинці використали невиправлену вразливість програмного забезпечення, що призвело до витоку конфіденційної інформації 147 млн людей. Викрадені дані включали номери соціального страхування, дані кредитних карток та посвідчення особи. Equifax виплатила 700 мільйонів доларів США за відшкодування збитків та послуги кредитного моніторингу. Ця атака призвела до вдосконалення законів про захист даних та посилення контролю над агентствами кредитних історій.
Атака на ланцюжок поставок SolarWinds. У 2020 році кібератаки, націлені на урядові установи США та компанії зі списку Fortune 500, скомпрометували програмне забезпечення Orion компанії SolarWinds, установивши люк для обходу системи безпеки, який використовувався для шпигунства за мережами. Серед жертв були Міністерство внутрішньої безпеки США, Microsoft та Intel.
Атака зловмисної програми з вимогою викупу Colonial Pipeline. У 2021 році компанія Colonial Pipeline зазнала атаки, внаслідок якої їй довелося зупинити всі операції. Щоб відновити комп’ютерну систему, яка використовувалася для керування нафтопроводами в південно-східній частині Сполучених Штатів, компанія Colonial Pipeline виплатила зловмисникам викуп у розмірі 75 біткойнів (або 4,4 млн доларів США (USD) на той час). Ця кібератака стала найбільшою в історії США, спрямованою на нафтову інфраструктуру, і висвітлила вразливі місця в енергетичному та транспортному секторах, що спонукало до посилення заходів кібербезпеки.
Криптовалюта. У березні та квітні 2022 року кібератак зазнали три різні протоколи кредитування. Протягом одного тижня зловмисники вкрали криптовалюту на 15,6 млн доларів США в Inverse Finance, 625 млн доларів США в орієнтованій на ігровий бізнес платформі Ronin Network і 3,6 млн доларів США в Ola Finance.
Останніми роками кібератаки стають частішими, складнішими й призводять до тяжчих фінансових наслідків, а зловмисні програми з вимогою викупу являють собою одну з найсерйозніших загроз. Зловмисники все частіше атакують як приватних осіб, так і організації, шифруючи важливі дані та вимагаючи великі суми викупу. Гучні атаки зловмисних програм із вимогою викупу на лікарні, фінансові установи та інфраструктурні компанії порушили їхню роботу та завдали значних фінансових збитків. Кіберзлочинці також перейшли до тактики подвійного вимагання, не лише блокуючи дані, але й погрожуючи витоком конфіденційної інформації, якщо викуп не буде сплачено. Поява зловмисних програм із вимогою викупу як сервісу ще більше підживлює цю тенденцію, дозволяючи навіть нетехнічним кіберзлочинцям здійснювати атаки за допомогою готових інструментів.
Ще однією тривожною тенденцією є дедалі більша складність фішингових схем та кібератак, спонсорованих державами. Сучасні фішингові кампанії використовують електронні листи, створені штучним інтелектом, дипфейки та прийоми соціотехніки, щоб змусити навіть найобережніших людей розголошувати конфіденційну інформацію. Ці атаки часто обходять традиційні заходи безпеки, що призводить до крадіжки облікових даних і витоку інформації. Тим часом кібератаки, що фінансуються державами, стають все більш поширеними і націлені на критично важливу інфраструктуру, таку як електромережі, очисні споруди та державні установи. Ці атаки, які часто приписують державам, що прагнуть підірвати економіку конкурентів або зібрати розвідувальні дані, підкреслюють необхідність посилення політики кібербезпеки, вдосконалення систем виявлення загроз і міжнародної співпраці для захисту від кібервійни.
Підпишіться на новини про Захисний комплекс Microsoft